Nesta página
Exemplo: Configuração de um filtro para aceitar pacotes com base em bandeiras IPv6 TCP
Este exemplo mostra como configurar um filtro de firewall sem estado padrão para aceitar pacotes de uma fonte confiável.
Requisitos
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar este exemplo.
Visão geral
Neste exemplo, você cria um filtro que aceita pacotes com bandeiras de TCP IPv6 específicas.
Configuração
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, veja Use o editor de CLI no modo de configuração.
- Configuração rápida da CLI
- Configure o filtro de firewall stateless
- Aplique o filtro de firewall na interface de loopback
- Confirme e confirme a configuração do seu candidato
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos em um arquivo de texto, remova qualquer quebra de linha e depois cole os comandos na CLI no nível de hierarquia.[edit]
set firewall family inet6 filter tcp_filter term 1 from next-header tcp set firewall family inet6 filter tcp_filter term 1 from tcp-flags syn set firewall family inet6 filter tcp_filter term 1 then count tcp_syn_pkt set firewall family inet6 filter tcp_filter term 1 then log set firewall family inet6 filter tcp_filter term 1 then accept set interfaces lo0 unit 0 family inet6 filter input tcp_filter set interfaces lo0 unit 0 family inet6 address ::10.34.1.0/120
Configure o filtro de firewall stateless
Procedimento passo a passo
Para configurar o filtro de firewall
Crie o filtro de firewall stateless IPv6.tcp_filter
[edit] user@host# edit firewall family inet6 filter tcp_filter
Especifique se um pacote combina se é o pacote inicial em uma sessão de TCP e o próximo cabeçalho após o cabeçalho IPv6 é tipo TCP.
[edit firewall family inet6 filter tcp_filter] user@host# set term 1 from next-header tcp user@host# set term 1 from tcp-flags syn
Especifique se os pacotes combinados são contados, conectados ao buffer no Mecanismo de encaminhamento de pacotes e aceitos.
[edit firewall family inet6 filter tcp_filter] user@host# set term 1 then count tcp_syn_pkt user@host# set term 1 then log user@host# set term 1 then accept
Aplique o filtro de firewall na interface de loopback
Procedimento passo a passo
Para aplicar o filtro de firewall na interface de loopback:
[edit] user@host# set interfaces lo0 unit 0 family inet6 filter input tcp_filter user@host# set interfaces lo0 unit 0 family inet6 address ::10.34.1.0/120
Confirme e confirme a configuração do seu candidato
Procedimento passo a passo
Para confirmar e então confirmar a configuração do seu candidato:
Confirme a configuração do filtro de firewall sem estado entrando no comando do modo de configuração.
show firewall
Se a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.[edit] user@host# show firewall family inet6 { filter tcp_filter { term 1 { from { next-header tcp; tcp-flags syn; } then { count tcp_syn_pkt; log; accept; } } } }
Confirme a configuração da interface entrando no comando do modo de configuração.
show interfaces
Se a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.[edit] user@host# show interfaces lo0 { unit 0 { family inet6 { filter { input tcp_filter; } address ::10.34.1.0/120; } } }
Quando terminar de configurar o dispositivo, confirme a configuração do seu candidato.
[edit] user@host# commit
Verificação
Para confirmar que a configuração está funcionando corretamente, insira o comando do modo operacional.show firewall