Nesta página
Exemplo: Configuração de um filtro para contar pacotes de opções de IP
Este exemplo mostra como usar um filtro de firewall sem estado para contar pacotes de opções de IP individuais:
Requisitos
Este exemplo usa uma interface em um Concentrador Modular de Portas Ethernet (MPC) de 10 Gigabits, Ethernet MPC de 60 Gigabits, enfileiramento de 60 Gigabits Ethernet MPC ou 60 GigabitS Ethernet Enhanced Enfileiramento MPC em um roteador da Série MX. Essa interface permite que você aplique um filtro de firewall IPv4 (padrão ou filtro de serviço) que possa usar as
count
ações não sufocantes em pacotes que correspondam a um valor específico sem precisar também usar a ação de terminação.logsyslog
ip-option
discard
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar este exemplo.
Visão geral
Neste exemplo, você usa um filtro de firewall sem estado para contar pacotes de opções de IP, mas não bloquear nenhum tráfego. Além disso, o filtro registra pacotes que têm roteamento de origem frouxo ou rigoroso.
O campo de cabeçalho de opção IP é um campo opcional apenas em cabeçalhos IPv4. As condições de correspondência são suportadas apenas para filtros de firewall sem estado padrão e filtros de serviço.ip-options
ip-options-except
Nos roteadores da série M e T, os filtros de firewall não podem contar pacotes por tipo de opção e por interface.ip-options
Um trabalho limitado é usar o comando para ver estatísticas por mecanismo de encaminhamento de pacotes (PFE).show pfe statistics ip options
ip-options
Veja as estatísticas de pfe de exibição ip para saída de amostra.https://www.juniper.net/documentation/en_US/junos/topics/reference/command-summary/show-pfe-statistics-ip.html
Configuração
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, veja .Use o editor de CLI no modo de configuração
Para configurar este exemplo, execute as seguintes tarefas:
- Configuração rápida da CLI
- Configure o filtro de firewall stateless
- Aplique o filtro de firewall sem estado em uma interface lógica
- Confirme e confirme a configuração do seu candidato
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos de configuração em um arquivo de texto, remova qualquer quebra de linha e cole os comandos na CLI no nível de hierarquia.[edit]
set firewall family inet filter ip_options_filter term match_strict_source from ip-options strict-source-route set firewall family inet filter ip_options_filter term match_strict_source then count strict_source_route set firewall family inet filter ip_options_filter term match_strict_source then log set firewall family inet filter ip_options_filter term match_strict_source then accept set firewall family inet filter ip_options_filter term match_loose_source from ip-options loose-source-route set firewall family inet filter ip_options_filter term match_loose_source then count loose_source_route set firewall family inet filter ip_options_filter term match_loose_source then log set firewall family inet filter ip_options_filter term match_loose_source then accept set firewall family inet filter ip_options_filter term match_record from ip-options record-route set firewall family inet filter ip_options_filter term match_record then count record_route set firewall family inet filter ip_options_filter term match_record then accept set firewall family inet filter ip_options_filter term match_timestamp from ip-options timestamp set firewall family inet filter ip_options_filter term match_timestamp then count timestamp set firewall family inet filter ip_options_filter term match_timestamp then accept set firewall family inet filter ip_options_filter term match_router_alert from ip-options router-alert set firewall family inet filter ip_options_filter term match_router_alert then count router_alert set firewall family inet filter ip_options_filter term match_router_alert then accept set firewall family inet filter ip_options_filter term match_all then accept set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30 set interfaces ge-0/0/1 unit 0 family inet filter input ip_options_filter
Configure o filtro de firewall stateless
Procedimento passo a passo
Para configurar o filtro de firewall sem estado:ip_option_filter
Crie o filtro de firewall sem estado .
ip_option_filter
[edit] user@host# edit firewall family inet filter ip_options_filter
Configure o primeiro termo para contar, registrar e aceitar pacotes com o campo de cabeçalho opcional de IP.
strict_source_route
[edit firewall family inet filter ip_option_filter] user@host# set term match_strict_source from ip-options strict_source_route user@host# set term match_strict_source then count strict_source_route user@host# set term match_strict_source then log user@host# set term match_strict_source then accept
Configure o próximo termo para contar, registrar e aceitar pacotes com o campo de cabeçalho opcional de IP.
loose-source-route
[edit firewall family inet filter ip_option_filter] user@host# set term match_loose_source from ip-options loose-source-route user@host# set term match_loose_source then count loose_source_route user@host# set term match_loose_source then log user@host# set term match_loose_source then accept
Configure o próximo termo para contar e aceitar pacotes com o campo de cabeçalho opcional IP.
record-route
[edit firewall family inet filter ip_option_filter] user@host# set term match_record from ip-options record-route user@host# set term match_record then count record_route user@host# set term match_record then accept
Configure o próximo termo para contar e aceitar pacotes com o campo de cabeçalho opcional IP.
timestamp
[edit firewall family inet filter ip_option_filter] user@host# set term match_timestamp from ip-options timestamp user@host# set term match_timestamp then count timestamp user@host# set term match_timestamp then accept
Configure o próximo termo para contar e aceitar pacotes com o campo de cabeçalho opcional IP.
router-alert
[edit firewall family inet filter ip_option_filter] user@host# set term match_router_alert from ip-options router-alert user@host# set term match_router_alert then count router_alert user@host# set term match_router_alert then accept
Crie o último termo para aceitar qualquer pacote sem aumentar nenhum contador.
[edit firewall family inet filter ip_option_filter] user@host# set term match_all then accept
Aplique o filtro de firewall sem estado em uma interface lógica
Procedimento passo a passo
Aplicar o filtro de firewall sem estado em uma interface lógica:
Configure a interface lógica à qual você aplicará o filtro de firewall sem estado.
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
Configure o endereço da interface para a interface lógica.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
Aplique o filtro de firewall sem estado na interface lógica.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input ip_options_filter
Confirme e confirme a configuração do seu candidato
Procedimento passo a passo
Para confirmar e então confirmar a configuração do seu candidato:
Confirme a configuração do filtro de firewall sem estado entrando no comando do modo de configuração.
show firewall
Se a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.[edit] user@host# show firewall family inet { filter ip_options_filter { term match_strict_source { from { ip-options strict-source-route; } then { count strict_source_route; log; accept; } } term match_loose_source { from { ip-options loose-source-route; } then { count loose_source_route; log; accept; } } term match_record { from { ip-options record-route; } then { count record_route; accept; } } term match_timestamp { from { ip-options timestamp; } then { count timestamp; accept; } } term match_router_alert { from { ip-options router-alert; } then { count router_alert; accept; } } term match_all { then accept; } } }
Confirme a configuração da interface entrando no comando do modo de configuração.
show interfaces
Se a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { filter { input ip_option_filter; } address 10.1.2.3/30; } } }
Se você terminar de configurar o dispositivo, confirme a configuração do seu candidato.
[edit] user@host# commit
Verificação
Para confirmar que a configuração está funcionando corretamente, insira o comando do modo operacional.show firewall filter ip_option_filter
Você também pode exibir o log e os contadores individuais separadamente usando as seguintes formas de comando:
show firewall counter strict_source_route
show firewall counter loose_source_route
show firewall counter record_route
show firewall counter timestamp
show firewall counter router_alert
show firewall log