Nesta página
Exemplo: Configuração de um filtro de saída com base em endereços IP de origem ou destino IPv6
Este exemplo mostra como configurar um filtro de firewall para aceitar pacotes IPv6 que estão sendo usados em uma inet6
interface.
Requisitos
Este tópico descreve um recurso suportado no EX4300 e QFX5100 que foi introduzido no Junos OS Release 19.1R1. Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar este exemplo.
Visão geral
Neste exemplo, você cria um filtro de firewall típico para aceitar pacotes de origem e destino IPv6 na direção de saída de uma inet6
interface. Para oferecer suporte à filtragem na direção da saída, no entanto, você primeiro precisará definir o set system packet-forwarding-options eracl-ip6-match
uso da opção ou srcip6-only
da opçãosrcip6-and-destip6
. Você também precisará reiniciar o mecanismo de encaminhamento de pacotes (PFE) depois de comprometer a configuração.
Configuração
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, veja Use o editor de CLI no modo de configuração.
- Configuração rápida da CLI
- Habilite o sistema para filtragem de endereçoS IPv6
- Aplique o filtro de firewall em uma interface de saída
- Confirme e confirme a configuração do seu candidato
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos em um arquivo de texto, remova qualquer quebra de linha e depois cole os comandos na CLI no nível de [edit]
hierarquia.
set system packet-forwarding-options eracl-ip6-match srcip6-and-destip6 set firewall family inet6 filter ipv6_filter term t1 from source-address 3001::10/64 set firewall family inet6 filter ipv6_filter term t1 from destination-address 2001::10/64 set interfaces ge-0/0/0 unit 0 family inet6 filter output ipv6_filter
Habilite o sistema para filtragem de endereçoS IPv6
Procedimento passo a passo
Para configurar um filtro de firewall para filtragem IPv6 em uma inet6
interface de saída:
Habilite opções de encaminhamento de pacotes para correspondência em endereços IP de origem IPv6 ou IPv6. Neste exemplo, permitiremos a correspondência de endereços IP de origem e destino.
[edit] user@host# set system packet-forwarding-options eracl-ip6-match srcip6-and-destip6
Verifique e, se apropriado, exclua quaisquer filtros de firewall existentes que já estejam vinculados à interface que você usará para o filtro de firewall IPv6:
[edit] user@host# delete interfaces ge-0/0/0 unit 0 family inet6 filter output tcp_filter.
Comprometa as alterações acima e, em seguida, interrompa e reinicie o PFE para aceitar
packet-forwarding-options
e limpar o PFE para o(s) filtro(s) IPv6.Para EX4300, use o seguinte:
user@host# commit user@host# run request restart pfe-manager
Para o chassi virtual EX4300, use o seguinte:
user@host# commit user@host# run request system reboot all-members
Para QFX5100, reinicialize o sistema:
user@host# commit user@host# run request system reboot
Crie um filtro de firewall IPv6 chamado tcp_filter.
[edit] user@host# edit firewall family inet6 filter tcp_filter
Configure a ação de filtro necessária, aqui para combinar pacotes com um endereço de origem ou destino IPv6 dentro do intervalo configurado.
[edit firewall family inet6 filter tcp_filter] user@host# set term t1 from source-address 3001::10/64 user@host# set term t1 from destination-address 2001::10/64
Especifique se os pacotes combinados são contados, conectados ao buffer no PFE e aceitos.
[edit firewall family inet6 filter tcp_filter] user@host# set term t1 then count egress_ipv6-packets user@host# set term t1 then log user@host# set term t1 then accept
Aplique o filtro de firewall em uma interface de saída
Procedimento passo a passo
Para aplicar o filtro de firewall a uma interface de entrada6 de saída, digite o seguinte:
user@host# set interfaces ge-0/0/0 unit 0 family inet6 filter output tcp_filter
Confirme e confirme a configuração do seu candidato
Procedimento passo a passo
Para confirmar e então confirmar a configuração do seu candidato:
Confirme a configuração do filtro de firewall entrando no comando do
show firewall
modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.[edit] user@host# show firewall family inet6 { filter tcp_filter { term t1 { from { source-address 3001::10/64; destination-address 2001::10/64; } then { count egress_ipv6-packets; log; accept; } } } }
Confirme a configuração da interface entrando no comando do
show interfaces
modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.[edit] user@host# show interfaces ge-0/0/0 { unit 0 { family inet6 { filter { output tcp_filter; } source-address 3001::10/64; destination-address 2001::10/64; } } }
Quando terminar de configurar o dispositivo, confirme a configuração do candidato.
[edit] user@host# commit