Nesta página
Exemplo: Configuração de um filtro para combinar com dois critérios não relacionados
Este exemplo mostra como configurar um filtro de firewall sem estado padrão para combinar com dois critérios não relacionados.
Requisitos
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar este exemplo.
Visão geral
Neste exemplo, você usa um filtro de firewall sem estado padrão para combinar com pacotes IPv4 que são pacotes OSPF ou pacotes que vêm de um endereço no prefixo 10.108/16
e enviam uma administratively-prohibited
mensagem ICMP para todos os pacotes que não são compatíveis.
Configuração
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, veja Use o editor de CLI no modo de configuração.
Para configurar este exemplo, execute as seguintes tarefas:
- Configuração rápida da CLI
- Configurando o filtro de firewall IPv4
- Aplicando o filtro de firewall IPv4 em uma interface lógica
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos de configuração em um arquivo de texto, remova qualquer quebra de linha e cole os comandos na CLI no nível de [edit]
hierarquia.
set firewall family inet filter ospf_or_131 term protocol_match from protocol ospf set firewall family inet filter ospf_or_131 term address-match from source-address 10.108.0.0/16 set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30 set interfaces ge-0/0/1 unit 0 family inet filter input ospf_or_131
Configurando o filtro de firewall IPv4
Procedimento passo a passo
Para configurar o filtro de firewall IPv4:
Habilite a configuração do filtro de firewall IPv4.
[edit] user@host# edit firewall family inet filter ospf_or_131
Configure o primeiro termo para aceitar pacotes OSPF.
[edit firewall family inet filter ospf_or_131] user@host# set term protocol_match from protocol ospf
Os pacotes que correspondem à condição são aceitos por padrão. Como outro termo segue este termo, os pacotes que não correspondem a essa condição são avaliados pelo próximo termo.
Configure o segundo termo para aceitar pacotes de qualquer endereço IPv4 em um prefixo específico.
[edit firewall family inet filter ospf_or_131] user@host# set term address_match from source-address 10.108.0.0/16
Os pacotes que correspondem a essa condição são aceitos por padrão. Como este é o último termo no filtro, os pacotes que não correspondem a essa condição são descartados por padrão.
Resultados
Confirme a configuração do filtro de firewall sem estado entrando no comando do show firewall
modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste procedimento para corrigir a configuração.
[edit] user@host# show firewall family inet { filter ospf_or_131 { term protocol_match { from { protocol ospf; } } term address_match { from { source-address { 10.108.0.0/16; } } } } }
Aplicando o filtro de firewall IPv4 em uma interface lógica
Procedimento passo a passo
Aplicar o filtro de firewall sem estado em uma interface lógica:
Habilite a configuração de uma interface lógica.
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
Configure um endereço IP para a interface lógica.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
Aplique o filtro de firewall IPv4 na interface lógica.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input ospf_or_131
Resultados
Confirme a configuração da interface entrando no comando do show interfaces
modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste procedimento para corrigir a configuração.
[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { filter { input ospf_or_131; } address 10.1.2.3/30; } } }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
Para confirmar que a configuração está funcionando corretamente, insira o comando do show firewall filter ospf_or_131
modo operacional.