Nesta página
Exemplo: Configuração de um filtro de firewall sem estado em um grupo de interface
Os filtros de firewall são essenciais para proteger uma rede e simplificar o gerenciamento de rede. No Junos OS, você pode configurar um filtro de firewall sem estado para controlar o trânsito de pacotes de dados pelo sistema e manipular pacotes conforme necessário. Aplicar um filtro de firewall sem estado em um grupo de interface ajuda a filtrar pacotes que transitam por cada interface no grupo de interface. Este exemplo mostra como configurar um filtro de firewall sem estado padrão para combinar pacotes marcados para um determinado grupo de interface.
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Quaisquer dois roteadores ou switches da Juniper Networks que estejam conectados física ou logicamente entre si por meio de interfaces pertencentes a uma instância de roteamento
Versão do Junos OS 7.4 ou posterior
Visão geral
Você pode aplicar um filtro de firewall sem estado em um grupo de interface para aplicá-lo em todas as interfaces do grupo de interface. Isso ajuda você a gerenciar a filtragem de pacotes em várias interfaces simultaneamente.
Neste exemplo, você configura duas interfaces de roteador ou switch para pertencer ao grupo de interface. Você também configura um filtro de firewall sem estado com três termos. Em termo , o filtro corresponde a pacotes que foram marcados como recebidos nesse grupo term1de interface e contêm uma tag de protocolo ICMP. O filtro conta, registra e rejeita pacotes que correspondam às condições. A termo , o filtro corresponde a pacotes que contêm a tag de protocolo ICMP.term2 O filtro conta, registra e aceita todos os pacotes compatíveis com a condição. A termo , o filtro conta todos os pacotes de trânsito.term3
Ao aplicar o filtro de firewall na instância de roteamento, você pode aplicar simultaneamente o mecanismo de filtragem em todas as interfaces do grupo de interface. Para que isso aconteça, todas as interfaces do grupo de interface devem pertencer a uma única instância de roteamento.
Quando você aplica um filtro de firewall em uma interface de loopback, a interface filtra todos os pacotes destinados ao Mecanismo de Roteamento.
A configuração rápida da CLI mostra a configuração para todos os dispositivos em .Figura 1 O procedimento passo a passo da seção descreve as etapas do Dispositivo R1.
Configuração
- Configuração rápida da CLI
- Configure e aplique o filtro de firewall sem estado em um grupo de interface
- Resultados
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de hierarquia e, em seguida, entrar no modo de configuração.[edit]commit
Dispositivo R0
set interfaces ge-0/0/0 unit 0 family inet address 172.16.17.1/30 set interfaces ge-0/0/1 unit 0 family inet address 172.16.19.1/30 set interfaces ge-0/0/2 unit 0 family inet address 20.1.1.1/30 set interfaces lo0 unit 0 family inet address 10.0.0.1/32
Dispositivo R1
set firewall family inet filter filter_if_group term term1 from interface-group 1 set firewall family inet filter filter_if_group term term1 from protocol icmp set firewall family inet filter filter_if_group term term1 then count if_group_counter1 set firewall family inet filter filter_if_group term term1 then log set firewall family inet filter filter_if_group term term1 then reject set firewall family inet filter filter_if_group term term2 from protocol icmp set firewall family inet filter filter_if_group term term2 then count if_group_counter2 set firewall family inet filter filter_if_group term term2 then log set firewall family inet filter filter_if_group term term2 then accept set firewall family inet filter filter_if_group term term3 then count default set interfaces ge-0/0/0 unit 0 family inet filter group 1 set interfaces ge-0/0/0 unit 0 family inet address 172.16.17.2/30 set interfaces ge-0/0/1 unit 0 family inet address 172.16.19.2/30 set interfaces ge-0/0/2 unit 0 family inet filter group 1 set interfaces ge-0/0/2 unit 0 family inet address 20.1.1.2/30 set interfaces lo0 unit 0 family inet address 20.0.0.1/32 set forwarding-options family inet filter input filter_if_group
Configure e aplique o filtro de firewall sem estado em um grupo de interface
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, veja no Guia do usuário da CLI.Use o editor de CLI no modo de configuraçãohttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html
Para configurar o filtro de firewall sem estado em um grupo de interface:filter_if_group
Crie o filtro de firewall sem estado .
filter_if_group[edit firewall] user@R1# edit family inet filter filter_if_group
Configure as interfaces e atribua duas interfaces ao grupo de interface.
1[edit interfaces] user@R1# set ge-0/0/0 unit 0 family inet filter group 1 user@R1# set ge-0/0/0 unit 0 family inet address 172.16.17.2/30 user@R1# set ge 0/0/1 unit 0 family inet address 172.16.19.2/30 user@R1# set ge-0/0/2 unit 0 family inet filter group 1 user@R1# set ge-0/0/2 unit 0 family inet address 20.1.1.2/30 user@R1# set lo0 unit 0 family inet address 20.0.0.1/32
Configure o termo para combinar pacotes recebidos em grupo de interface e com o protocolo ICMP.
term11[edit firewall] user@R1# set family inet filter filter_if_group term term1 from interface-group 1 user@R1# set family inet filter filter_if_group term term1 from protocol icmp
Configure o termo para contar, registrar e rejeitar todos os pacotes correspondentes.
term1[edit firewall] user@R1# set family inet filter filter_if_group term term1 then count if_group_counter1 user@R1# set family inet filter filter_if_group term term1 then log user@R1# set family inet filter filter_if_group term term1 then reject
Configure o termo para combinar pacotes com o protocolo ICMP.
term2[edit firewall] user@R1# set family inet filter filter_if_group term term2 from protocol icmp
Configure o termo para contar, registrar e aceitar todos os pacotes correspondentes.
term2[edit firewall] user@R1# set family inet filter filter_if_group term term2 then count if_group_counter2 user@R1# set family inet filter filter_if_group term term2 then log user@R1# set family inet filter filter_if_group term term2 then accept
Configure o termo para contar todos os pacotes de trânsito.
term3[edit firewall] user@R1# set family inet filter filter_if_group term term3 then count default
Aplique o filtro de firewall no grupo de interface do roteador (ou switch) aplicando-o na instância de roteamento.
[edit] user@R1# set forwarding-options family inet filter input filter_if_group
Se você terminar de configurar o dispositivo, confirme a configuração do seu candidato.
[edit] user@host# commit
Resultados
A partir do modo de configuração, confirme sua configuração emitindo o e os comandos.show interfacesshow firewallshow forwarding-options Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
[edit]
user@R1# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
filter {
group 1;
}
address 172.16.17.2/30;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 172.16.19.2/30;
}
}
}
ge-0/0/2 {
unit 0 {
family inet {
filter {
group 1;
}
address 20.1.1.2/30;
}
}
}
lo0 {
unit 0 {
family inet {
address 20.0.0.1/32;
}
}
}
[edit]
user@R1# show firewall
family inet {
filter filter_if_group {
term term1 {
from {
interface-group 1;
protocol icmp;
}
then {
count if_group_counter1;
log;
reject;
}
}
term term2 {
from {
protocol icmp;
}
then {
count if_group_counter2;
log;
accept;
}
}
term term3 {
then count default;
}
}
}
[edit]
user@R1# show forwarding-options
family inet {
filter {
input filter_if_group;
}
}
Verificação
Confirme se a configuração está funcionando corretamente.
- Verificando a configuração das interfaces
- Verificação da configuração do filtro de firewall sem estado
Verificando a configuração das interfaces
Propósito
Verifique se as interfaces estão configuradas corretamente.
Ação
Para exibir o estado das interfaces, use o comando do modo operacional.show interfaces terse
Dispositivo R0
user@R0> show interfaces terse
Interface Admin Link Proto Local Remote
ge-0/0/0 up up
ge-0/0/0.0 up up inet 172.16.17.1/30
multiservice
ge-0/0/1 up up
ge-0/0/1.0 up up inet 172.16.19.1/30
multiservice
ge-0/0/2 up up
ge-0/0/2.0 up up inet 20.1.1.1/30
multiservice
lo0 up up
lo0.0 up up inet 10.0.0.1 --> 0/0Dispositivo R1
user@R1> show interfaces terse
Interface Admin Link Proto Local Remote
ge-0/0/0 up up
ge-0/0/0.0 up up inet 172.16.17.2/30
multiservice
...
ge-0/0/1 up up
ge-0/0/1.0 up up inet 172.16.19.2/30
multiservice
ge-0/0/2 up up
ge-0/0/2.0 up up inet 20.1.1.2/30
multiservice
...Significado
Todas as interfaces dos dispositivos R0 e R1 estão fisicamente conectadas e ativas. O grupo de interface no dispositivo R1 consiste em duas interfaces, ou seja, ge-0/0/0.0 e ge-0/0/2.0.1
Verificação da configuração do filtro de firewall sem estado
Propósito
Verifique se as condições de correspondência do filtro de firewall estão configuradas corretamente.
Ação
Para exibir os contadores de filtro de firewall, insira o comando do modo operacional.
show firewall filter filter_if_groupuser@R1> show firewall filter filter_if_group Filter: filter_if_group Counters: Name Bytes Packets default 192975 3396 if_group_counter1 2520 30 if_group_counter2 2604 41
Para exibir o log local de cabeçalhos de pacotes para pacotes avaliados pelo filtro de firewall, insira o comando do modo operacional.
show firewall loguser@R1> show firewall log Log : Time Filter Action Interface Protocol Src Addr Dest Addr 22:27:33 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:33 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:32 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:32 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:31 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:31 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:30 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:30 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:29 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:29 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:29 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:21 pfe A ge-0/0/1.0 ICMP 172.16.19.1 172.16.19.2 22:27:20 pfe A ge-0/0/1.0 ICMP 172.16.19.1 172.16.19.2 22:27:19 pfe A ge-0/0/1.0 ICMP 172.16.19.1 172.16.19.2 22:27:18 pfe A ge-0/0/1.0 ICMP 172.16.19.1 172.16.19.2 22:27:04 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:04 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:27:04 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:04 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:27:02 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:02 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:27:01 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:01 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:27:00 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:00 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:24:48 filter_if_group A fxp0.0 ICMP 10.92.16.2 10.92.26.176
Para garantir que os filtros de firewall estejam ativos no grupo de interface no dispositivo R1, use o comando de modo operacional na CLI do dispositivo R0.
1ping <address>user@R0> ping 172.16.17.2 PING 172.16.17.2 (172.16.17.2): 56 data bytes 36 bytes from 172.16.17.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f46b 0 0000 40 01 6239 172.16.17.1 172.16.17.2 36 bytes from 172.16.17.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f479 0 0000 40 01 622b 172.16.17.1 172.16.17.2 36 bytes from 172.16.17.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f487 0 0000 40 01 621d 172.16.17.1 172.16.17.2
user@R0> ping 20.1.1.2 PING 20.1.1.2 (20.1.1.2): 56 data bytes 36 bytes from 20.1.1.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f5bd 0 0000 40 01 5ae7 20.1.1.1 20.1.1.2 36 bytes from 20.1.1.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f5cd 0 0000 40 01 5ad7 20.1.1.1 20.1.1.2 36 bytes from 20.1.1.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f5d9 0 0000 40 01 5acb 20.1.1.1 20.1.1.2 36 bytes from 20.1.1.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f5f6 0 0000 40 01 5aae 20.1.1.1 20.1.1.2
Para garantir que o filtro de firewall não seja aplicado em uma interface que não esteja em grupo de interface, use o comando de modo operacional na CLI do dispositivo R0.
1ping <address>user@R0> ping 172.16.19.2 PING 172.16.19.2 (172.16.19.2): 56 data bytes 64 bytes from 172.16.19.2: icmp_seq=0 ttl=64 time=8.689 ms 64 bytes from 172.16.19.2: icmp_seq=1 ttl=64 time=4.076 ms 64 bytes from 172.16.19.2: icmp_seq=2 ttl=64 time=8.501 ms 64 bytes from 172.16.19.2: icmp_seq=3 ttl=64 time=3.954 ms ...
Significado
O filtro de firewall sem estado é aplicado a todas as interfaces do grupo de interface.1 O termo condição de correspondência no filtro de firewall stateless conta, registra e rejeita pacotes que são recebidos ou enviados das interfaces em grupo de interface e com um protocolo ICMP de origem.term11 O termo condição de correspondência corresponde a pacotes marcados com o protocolo ICMP e contagens, logs e aceita esses pacotes.term2 O termo condição de correspondência conta todos os pacotes de trânsito.term3