Nesta página
Exemplo: Configuração de um filtro para aceitar pacotes DHCP com base no endereço
Este exemplo mostra como configurar um filtro de firewall sem estado padrão para aceitar pacotes de uma fonte confiável.
Requisitos
Este exemplo é suportado apenas em roteadores da Série MX e switches da Série EX.
Visão geral
Neste exemplo, você cria um filtro (rpf_dhcp
) que aceita pacotes DHCP com um endereço de 0.0.0.0
origem e um endereço de destino de 255.255.255.255
.
Configuração
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, veja Use o editor de CLI no modo de configuração.
- Configuração rápida da CLI
- Configure o filtro de firewall stateless
- Aplique o filtro de firewall na interface de loopback
- Confirme e confirme a configuração do seu candidato
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos de configuração em um arquivo de texto, remova qualquer quebra de linha e cole os comandos na CLI no nível de [edit]
hierarquia.
set firewall family inet filter rpf_dhcp term dhcp_term from source-address 0.0.0.0/32 set firewall family inet filter rpf_dhcp term dhcp_term from destination-address 255.255.255.255/32 set firewall family inet filter rpf_dhcp term dhcp_term then accept set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30 set interfaces ge-0/0/1 unit 0 family inet filter input sam
Configure o filtro de firewall stateless
Procedimento passo a passo
Para configurar o filtro de firewall sem estado:
Crie o filtro de firewall sem estado
rpf_dhcp
.[edit] user@host# edit firewall family inet filter rpf_dhcp
Configure o termo para combinar pacotes com um endereço de
0.0.0.0
origem e um endereço de destino de255.255.255.255
.[edit firewall family inet filter rpf_dhcp] user@host# set term dhcp_term from source-address 0.0.0.0/32 user@host# set term dhcp_term from destination-address 255.255.255.255/32
Configure o termo para aceitar pacotes compatíveis com as condições especificadas.
[edit firewall family inet filter rpf_dhcp] set term dhcp_term then accept
Aplique o filtro de firewall na interface de loopback
Procedimento passo a passo
Para aplicar o filtro na entrada na interface de loopback:
Aplique o filtro se os
rpf_dhcp
pacotes não estiverem chegando em um caminho esperado.[edit] user@host# set interfaces lo0 unit 0 family inet rpf-check fail-filter rpf_dhcp
Configure um endereço para a interface de loopback.
[edit] user@host# set interfaces lo0 unit 0 family inet address 127.0.0.1/32
Confirme e confirme a configuração do seu candidato
Procedimento passo a passo
Para confirmar e então confirmar a configuração do seu candidato:
Confirme a configuração do filtro de firewall sem estado entrando no comando do
show firewall
modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.[edit] user@host# show firewall family inet { filter rpf_dhcp { term dhcp_term { from { source-address { 0.0.0.0/32; } destination-address { 255.255.255.255/32; } } then accept; } } }
Confirme a configuração da interface entrando no comando do
show interfaces
modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.[edit] user@host# show interfaces lo0 { unit 0 { family inet { filter { rpf-check { fail-filter rpf_dhcp; mode loose; } } address 127.0.0.1/32; } } }
Quando terminar de configurar o dispositivo, confirme a configuração do seu candidato.
[edit] user@host# commit
Verificação
Para confirmar que a configuração está funcionando corretamente, insira o comando do show firewall
modo operacional.