Nesta página
Exemplo: Configuração de um filtro para contar pacotes aceitos e rejeitados
Este exemplo mostra como configurar um filtro de firewall para contar pacotes.
Requisitos
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar este exemplo.
Visão geral
Neste exemplo, você usa um filtro de firewall sem estado para rejeitar todos os endereços, exceto 192.168.5.0/24.
Topologia
No primeiro termo, a condição address 192.168.5.0/24 except de correspondência faz com que este endereço seja considerado uma incompatibilidade, e este endereço é passado para o próximo termo no filtro. A condição da correspondência address 0.0.0.0/0 corresponde a todos os outros pacotes, e estes são contados, registrados e rejeitados.
No segundo mandato, todos os pacotes que passaram pelo primeiro termo (ou seja, pacotes cujo endereço corresponde 192.168.5.0/24) são contados, registrados e aceitos.
Configuração
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, veja Use o editor de CLI no modo de configuração.
Para configurar este exemplo, execute as seguintes tarefas:
- Configuração rápida da CLI
- Configure o filtro de firewall stateless
- Aplique o filtro de firewall sem estado em uma interface lógica
- Confirme e confirme a configuração do seu candidato
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos de configuração em um arquivo de texto, remova qualquer quebra de linha e cole os comandos na CLI no nível de [edit] hierarquia.
set firewall family inet filter fire1 term 1 from address 192.168.5.0/24 except set firewall family inet filter fire1 term 1 from address 0.0.0.0/0 set firewall family inet filter fire1 term 1 then count reject_pref1_1 set firewall family inet filter fire1 term 1 then log set firewall family inet filter fire1 term 1 then reject set firewall family inet filter fire1 term 2 then count reject_pref1_2 set firewall family inet filter fire1 term 2 then log set firewall family inet filter fire1 term 2 then accept set interfaces ge-0/0/1 unit 0 family inet filter input fire1 set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30
Configure o filtro de firewall stateless
Procedimento passo a passo
Para configurar o filtro fire1de firewall sem estado:
Crie o filtro de firewall sem estado
fire1.[edit] user@host# edit firewall family inet filter fire1
Configure o primeiro termo para rejeitar todos os endereços, exceto aqueles de ou para o
192.168.5.0/24prefixo e depois contar, registrar e rejeitar todos os outros pacotes.[edit firewall family inet filter fire1] user@host# set term 1 from address 192.168.5.0/24 except user@host# set term 1 from address 0.0.0.0/0 user@host# set term 1 then count reject_pref1_1 user@host# set term 1 then log user@host# set term 1 then reject
Configure o próximo termo para contar, registrar e aceitar pacotes no
192.168.5.0/24prefixo.[edit firewall family inet filter fire1] user@host# set term 2 then count reject_pref1_2 user@host# set term 2 then log user@host# set term 2 then accept
Aplique o filtro de firewall sem estado em uma interface lógica
Procedimento passo a passo
Aplicar o filtro de firewall sem estado em uma interface lógica:
Configure a interface lógica à qual você aplicará o filtro de firewall sem estado.
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
Configure o endereço da interface para a interface lógica.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
Aplique o filtro de firewall sem estado na interface lógica.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input fire1
Confirme e confirme a configuração do seu candidato
Procedimento passo a passo
Para confirmar e então confirmar a configuração do seu candidato:
Confirme a configuração do filtro de firewall sem estado entrando no comando do
show firewallmodo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.[edit] user@host# show firewall family inet { filter fire1 { term 1 { from { address { 192.168.5.0/24 except; 0.0.0.0/0; } } then { count reject_pref1_1; log; reject; } } term 2 { then { count reject_pref1_2; log; accept; } } } }Confirme a configuração da interface entrando no comando do
show interfacesmodo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { filter { input fire1; } address 10.1.2.3/30; } } }Se você terminar de configurar o dispositivo, confirme a configuração do seu candidato.
[edit] user@host# commit
Verificação
Para confirmar que a configuração está funcionando corretamente, insira o comando do show firewall filter fire1 modo operacional. Você também pode exibir o log e os contadores individuais separadamente usando as seguintes formas de comando:
show firewall counter reject_pref1_1show firewall counter reject_pref1_2