Nesta página
Exemplo: Configuração de um filtro para contar e descartar pacotes de opções de IP
Este exemplo mostra como configurar um firewall sem estado padrão para contar pacotes.
Requisitos
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar este exemplo.
Como o termo filtro corresponde a qualquer valor de opção de IP, o termo filtro pode usar a ação sem o término da ação ou (alternativamente) sem exigir uma interface em um Concentrador modular de portas Ethernet (MPC) de 10 Gigabits, MPC Ethernet de 60 Gigabits, 60 Gigabits enfileiramento Ethernet MPC ou 60 Gigabit Ethernet Enfileiramento aprimorado MPC em um roteador da Série MX.countdiscard
Visão geral
Neste exemplo, você usa um filtro de firewall sem estado padrão para contar e descartar pacotes que incluam qualquer valor de opção de IP, mas aceitam todos os outros pacotes.
O campo de cabeçalho de opção IP é um campo opcional apenas em cabeçalhos IPv4. As condições de correspondência são suportadas apenas para filtros de firewall sem estado padrão e filtros de serviço.ip-optionsip-options-except
Nos roteadores da série M e T, os filtros de firewall não podem contar pacotes por tipo de opção e por interface.ip-options Um trabalho limitado é usar o comando para ver estatísticas por mecanismo de encaminhamento de pacotes (PFE).show pfe statistics ip optionsip-options Veja as estatísticas de pfe de exibição ip para saída de amostra.https://www.juniper.net/documentation/en_US/junos/topics/reference/command-summary/show-pfe-statistics-ip.html
Configuração
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, veja .Use o editor de CLI no modo de configuração
Para configurar este exemplo, execute as seguintes tarefas:
- Configuração rápida da CLI
- Configure o filtro de firewall stateless
- Aplique o filtro de firewall sem estado em uma interface lógica
- Confirme e confirme a configuração do seu candidato
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos de configuração em um arquivo de texto, remova qualquer quebra de linha e cole os comandos na CLI no nível de hierarquia.[edit]
set firewall family inet filter block_ip_options term 10 from ip-options any set firewall family inet filter block_ip_options term 10 then count option_any set firewall family inet filter block_ip_options term 10 then discard set firewall family inet filter block_ip_options term 999 then accept set interfaces ge-0/0/1 unit 0 family inet filter input block_ip_options set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30
Configure o filtro de firewall stateless
Procedimento passo a passo
Para configurar o filtro de firewall sem estado:
Crie o filtro de firewall sem estado .
block_ip_options[edit] user@host# edit firewall family inet filter block_ip_options
Configure o primeiro termo para contar e descartar pacotes que incluam quaisquer campos de cabeçalho de opções de IP.
[edit firewall family inet filter block_ip_options] user@host# set term 10 from ip-options any user@host# set term 10 then count option_any user@host# set term 10 then discard
Configure o outro termo para aceitar todos os outros pacotes.
[edit firewall family inet filter block_ip_options] user@host# set term 999 then accept
Aplique o filtro de firewall sem estado em uma interface lógica
Procedimento passo a passo
Aplicar o filtro de firewall sem estado em uma interface lógica:
Configure a interface lógica à qual você aplicará o filtro de firewall sem estado.
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
Configure o endereço da interface para a interface lógica.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
Aplique o filtro de firewall sem estado na interface lógica.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input block_ip_options
Confirme e confirme a configuração do seu candidato
Procedimento passo a passo
Para confirmar e então confirmar a configuração do seu candidato:
Confirme a configuração do filtro de firewall sem estado entrando no comando do modo de configuração.
show firewallSe a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.[edit] user@host# show firewall family inet { filter block_ip_options { term 10 { from { ip-options any; } then { count option_any; discard; } } term 999 { then accept; } } }Confirme a configuração da interface entrando no comando do modo de configuração.
show interfacesSe a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { filter { input block_ip_options; } address 10.1.2.3/30; } } }Se você terminar de configurar o dispositivo, confirme a configuração do seu candidato.
[edit] user@host# commit
Verificação
Para confirmar que a configuração está funcionando corretamente, insira o comando do modo operacional.show firewall filter block_ip_options Para exibir a contagem de pacotes descartados separadamente, insira a forma do comando.show firewall count option_any