Nesta página
Exemplo: Configuração de um filtro de firewall sem estado em um grupo de interface
Os filtros de firewall são essenciais para proteger uma rede e simplificar o gerenciamento de rede. No Junos OS, você pode configurar um filtro de firewall sem estado para controlar o trânsito de pacotes de dados pelo sistema e manipular pacotes conforme necessário. Aplicar um filtro de firewall sem estado em um grupo de interface ajuda a filtrar pacotes que transitam por cada interface no grupo de interface. Este exemplo mostra como configurar um filtro de firewall sem estado padrão para combinar pacotes marcados para um determinado grupo de interface.
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Quaisquer dois roteadores ou switches da Juniper Networks que estejam conectados física ou logicamente entre si por meio de interfaces pertencentes a uma instância de roteamento
Versão do Junos OS 7.4 ou posterior
Visão geral
Você pode aplicar um filtro de firewall sem estado em um grupo de interface para aplicá-lo em todas as interfaces do grupo de interface. Isso ajuda você a gerenciar a filtragem de pacotes em várias interfaces simultaneamente.
Neste exemplo, você configura duas interfaces de roteador ou switch para pertencer ao grupo de interface. Você também configura um filtro de firewall sem estado com três termos. Em termo term1
, o filtro corresponde a pacotes que foram marcados como recebidos nesse grupo de interface e contêm uma tag de protocolo ICMP. O filtro conta, registra e rejeita pacotes que correspondam às condições. A termo term2
, o filtro corresponde a pacotes que contêm a tag de protocolo ICMP. O filtro conta, registra e aceita todos os pacotes compatíveis com a condição. A termo term3
, o filtro conta todos os pacotes de trânsito.
Ao aplicar o filtro de firewall na instância de roteamento, você pode aplicar simultaneamente o mecanismo de filtragem em todas as interfaces do grupo de interface. Para que isso aconteça, todas as interfaces do grupo de interface devem pertencer a uma única instância de roteamento.
Quando você aplica um filtro de firewall em uma interface de loopback, a interface filtra todos os pacotes destinados ao Mecanismo de Roteamento.
A configuração rápida da CLI mostra a configuração para todos os dispositivos em Figura 1. O procedimento passo a passo da seção descreve as etapas do Dispositivo R1.
Configuração
- Configuração rápida da CLI
- Configure e aplique o filtro de firewall sem estado em um grupo de interface
- Resultados
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
Dispositivo R0
set interfaces ge-0/0/0 unit 0 family inet address 172.16.17.1/30 set interfaces ge-0/0/1 unit 0 family inet address 172.16.19.1/30 set interfaces ge-0/0/2 unit 0 family inet address 20.1.1.1/30 set interfaces lo0 unit 0 family inet address 10.0.0.1/32
Dispositivo R1
set firewall family inet filter filter_if_group term term1 from interface-group 1 set firewall family inet filter filter_if_group term term1 from protocol icmp set firewall family inet filter filter_if_group term term1 then count if_group_counter1 set firewall family inet filter filter_if_group term term1 then log set firewall family inet filter filter_if_group term term1 then reject set firewall family inet filter filter_if_group term term2 from protocol icmp set firewall family inet filter filter_if_group term term2 then count if_group_counter2 set firewall family inet filter filter_if_group term term2 then log set firewall family inet filter filter_if_group term term2 then accept set firewall family inet filter filter_if_group term term3 then count default set interfaces ge-0/0/0 unit 0 family inet filter group 1 set interfaces ge-0/0/0 unit 0 family inet address 172.16.17.2/30 set interfaces ge-0/0/1 unit 0 family inet address 172.16.19.2/30 set interfaces ge-0/0/2 unit 0 family inet filter group 1 set interfaces ge-0/0/2 unit 0 family inet address 20.1.1.2/30 set interfaces lo0 unit 0 family inet address 20.0.0.1/32 set forwarding-options family inet filter input filter_if_group
Configure e aplique o filtro de firewall sem estado em um grupo de interface
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, veja Use o editor de CLI no modo de configuração no Guia do usuário da CLI.
Para configurar o filtro filter_if_group
de firewall sem estado em um grupo de interface:
Crie o filtro de firewall sem estado
filter_if_group
.[edit firewall] user@R1# edit family inet filter filter_if_group
Configure as interfaces e atribua duas interfaces ao grupo
1
de interface.[edit interfaces] user@R1# set ge-0/0/0 unit 0 family inet filter group 1 user@R1# set ge-0/0/0 unit 0 family inet address 172.16.17.2/30 user@R1# set ge 0/0/1 unit 0 family inet address 172.16.19.2/30 user@R1# set ge-0/0/2 unit 0 family inet filter group 1 user@R1# set ge-0/0/2 unit 0 family inet address 20.1.1.2/30 user@R1# set lo0 unit 0 family inet address 20.0.0.1/32
Configure o termo
term1
para combinar pacotes recebidos em grupo1
de interface e com o protocolo ICMP.[edit firewall] user@R1# set family inet filter filter_if_group term term1 from interface-group 1 user@R1# set family inet filter filter_if_group term term1 from protocol icmp
Configure o termo
term1
para contar, registrar e rejeitar todos os pacotes correspondentes.[edit firewall] user@R1# set family inet filter filter_if_group term term1 then count if_group_counter1 user@R1# set family inet filter filter_if_group term term1 then log user@R1# set family inet filter filter_if_group term term1 then reject
Configure o termo
term2
para combinar pacotes com o protocolo ICMP.[edit firewall] user@R1# set family inet filter filter_if_group term term2 from protocol icmp
Configure o termo
term2
para contar, registrar e aceitar todos os pacotes correspondentes.[edit firewall] user@R1# set family inet filter filter_if_group term term2 then count if_group_counter2 user@R1# set family inet filter filter_if_group term term2 then log user@R1# set family inet filter filter_if_group term term2 then accept
Configure o termo
term3
para contar todos os pacotes de trânsito.[edit firewall] user@R1# set family inet filter filter_if_group term term3 then count default
Aplique o filtro de firewall no grupo de interface do roteador (ou switch) aplicando-o na instância de roteamento.
[edit] user@R1# set forwarding-options family inet filter input filter_if_group
Se você terminar de configurar o dispositivo, confirme a configuração do seu candidato.
[edit] user@host# commit
Resultados
A partir do modo de configuração, confirme sua configuração emitindo o show interfaces
e show firewall
show forwarding-options
os comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
[edit] user@R1# show interfaces ge-0/0/0 { unit 0 { family inet { filter { group 1; } address 172.16.17.2/30; } } } ge-0/0/1 { unit 0 { family inet { address 172.16.19.2/30; } } } ge-0/0/2 { unit 0 { family inet { filter { group 1; } address 20.1.1.2/30; } } } lo0 { unit 0 { family inet { address 20.0.0.1/32; } } }
[edit] user@R1# show firewall family inet { filter filter_if_group { term term1 { from { interface-group 1; protocol icmp; } then { count if_group_counter1; log; reject; } } term term2 { from { protocol icmp; } then { count if_group_counter2; log; accept; } } term term3 { then count default; } } }
[edit] user@R1# show forwarding-options family inet { filter { input filter_if_group; } }
Verificação
Confirme se a configuração está funcionando corretamente.
- Verificando a configuração das interfaces
- Verificação da configuração do filtro de firewall sem estado
Verificando a configuração das interfaces
Propósito
Verifique se as interfaces estão configuradas corretamente.
Ação
Para exibir o estado das interfaces, use o comando do show interfaces terse
modo operacional.
Dispositivo R0
user@R0> show interfaces terse Interface Admin Link Proto Local Remote ge-0/0/0 up up ge-0/0/0.0 up up inet 172.16.17.1/30 multiservice ge-0/0/1 up up ge-0/0/1.0 up up inet 172.16.19.1/30 multiservice ge-0/0/2 up up ge-0/0/2.0 up up inet 20.1.1.1/30 multiservice lo0 up up lo0.0 up up inet 10.0.0.1 --> 0/0
Dispositivo R1
user@R1> show interfaces terse Interface Admin Link Proto Local Remote ge-0/0/0 up up ge-0/0/0.0 up up inet 172.16.17.2/30 multiservice ... ge-0/0/1 up up ge-0/0/1.0 up up inet 172.16.19.2/30 multiservice ge-0/0/2 up up ge-0/0/2.0 up up inet 20.1.1.2/30 multiservice ...
Significado
Todas as interfaces dos dispositivos R0 e R1 estão fisicamente conectadas e ativas. O grupo 1
de interface no dispositivo R1 consiste em duas interfaces, ou seja, ge-0/0/0.0 e ge-0/0/2.0.
Verificação da configuração do filtro de firewall sem estado
Propósito
Verifique se as condições de correspondência do filtro de firewall estão configuradas corretamente.
Ação
Para exibir os contadores de filtro de firewall, insira o comando do
show firewall filter filter_if_group
modo operacional.user@R1> show firewall filter filter_if_group Filter: filter_if_group Counters: Name Bytes Packets default 192975 3396 if_group_counter1 2520 30 if_group_counter2 2604 41
Para exibir o log local de cabeçalhos de pacotes para pacotes avaliados pelo filtro de firewall, insira o comando do
show firewall log
modo operacional.user@R1> show firewall log Log : Time Filter Action Interface Protocol Src Addr Dest Addr 22:27:33 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:33 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:32 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:32 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:31 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:31 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:30 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:30 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:29 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:29 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:29 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:21 pfe A ge-0/0/1.0 ICMP 172.16.19.1 172.16.19.2 22:27:20 pfe A ge-0/0/1.0 ICMP 172.16.19.1 172.16.19.2 22:27:19 pfe A ge-0/0/1.0 ICMP 172.16.19.1 172.16.19.2 22:27:18 pfe A ge-0/0/1.0 ICMP 172.16.19.1 172.16.19.2 22:27:04 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:04 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:27:04 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:04 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:27:02 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:02 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:27:01 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:01 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:27:00 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:00 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:24:48 filter_if_group A fxp0.0 ICMP 10.92.16.2 10.92.26.176
Para garantir que os filtros de firewall estejam ativos no grupo
1
de interface no dispositivo R1, use o comando deping <address>
modo operacional na CLI do dispositivo R0.user@R0> ping 172.16.17.2 PING 172.16.17.2 (172.16.17.2): 56 data bytes 36 bytes from 172.16.17.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f46b 0 0000 40 01 6239 172.16.17.1 172.16.17.2 36 bytes from 172.16.17.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f479 0 0000 40 01 622b 172.16.17.1 172.16.17.2 36 bytes from 172.16.17.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f487 0 0000 40 01 621d 172.16.17.1 172.16.17.2
user@R0> ping 20.1.1.2 PING 20.1.1.2 (20.1.1.2): 56 data bytes 36 bytes from 20.1.1.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f5bd 0 0000 40 01 5ae7 20.1.1.1 20.1.1.2 36 bytes from 20.1.1.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f5cd 0 0000 40 01 5ad7 20.1.1.1 20.1.1.2 36 bytes from 20.1.1.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f5d9 0 0000 40 01 5acb 20.1.1.1 20.1.1.2 36 bytes from 20.1.1.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f5f6 0 0000 40 01 5aae 20.1.1.1 20.1.1.2
Para garantir que o filtro de firewall não seja aplicado em uma interface que não esteja em grupo
1
de interface, use o comando deping <address>
modo operacional na CLI do dispositivo R0.user@R0> ping 172.16.19.2 PING 172.16.19.2 (172.16.19.2): 56 data bytes 64 bytes from 172.16.19.2: icmp_seq=0 ttl=64 time=8.689 ms 64 bytes from 172.16.19.2: icmp_seq=1 ttl=64 time=4.076 ms 64 bytes from 172.16.19.2: icmp_seq=2 ttl=64 time=8.501 ms 64 bytes from 172.16.19.2: icmp_seq=3 ttl=64 time=3.954 ms ...
Significado
O filtro de firewall sem estado é aplicado a todas as interfaces do grupo 1
de interface. O termo term1
condição de correspondência no filtro de firewall stateless conta, registra e rejeita pacotes que são recebidos ou enviados das interfaces em grupo 1
de interface e com um protocolo ICMP de origem. O termo term2
condição de correspondência corresponde a pacotes marcados com o protocolo ICMP e contagens, logs e aceita esses pacotes. O termo term3
condição de correspondência conta todos os pacotes de trânsito.