Nesta página
Exemplo: Configurando um filtro para aceitar pacotes OSPF a partir de um prefixo
Este exemplo mostra como configurar um filtro de firewall sem estado padrão para aceitar pacotes de uma fonte confiável.
Requisitos
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar este exemplo.
Visão geral
Neste exemplo, você cria um filtro que aceita apenas pacotes OSPF de um endereço no prefixo 10.108.0.0/16, descartando todos os outros pacotes com uma administratively-prohibited mensagem ICMP
Configuração
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, veja Use o editor de CLI no modo de configuração.
Para configurar este exemplo, execute as seguintes tarefas:
- Configuração rápida da CLI
- Configure o filtro de firewall stateless
- Aplique o filtro de firewall na interface de loopback
- Confirme e confirme a configuração do seu candidato
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos de configuração em um arquivo de texto, remova qualquer quebra de linha e cole os comandos na CLI no nível de [edit]
hierarquia.
set firewall family inet filter ospf_filter term term1 from source-address 10.108.0.0/16 set firewall family inet filter ospf_filter term term1 from protocol ospf set firewall family inet filter ospf_filter term term1 then accept set firewall family inet filter ospf_filter term default-term then reject administratively-prohibited set interfaces lo0 unit 0 family inet address 10.1.2.3/30 set interfaces lo0 unit 0 family inet filter input ospf_filter
Configure o filtro de firewall stateless
Procedimento passo a passo
Para configurar o filtro ospf_filter
de firewall sem estado:
Crie o filtro.
[edit] user@host# edit firewall family inet filter ospf_filter
Configure o termo que aceita pacotes.
[edit firewall family inet filter ospf_filter] user@host# set term term1 from source-address 10.108.0.0/16 user@host# set term term1 from protocol ospf user@host# set term term1 then accept
Configure o termo que rejeita todos os outros pacotes.
[edit firewall family inet filter ospf_filter] user@host# set term default_term then reject administratively-prohibited
Aplique o filtro de firewall na interface de loopback
Procedimento passo a passo
Para aplicar o filtro de firewall na interface de loopback:
Configure a interface.
[edit] user@host# edit interfaces lo0 unit 0 family inet
Configure o endereço IP da interface lógica.
[edit interfaces lo0 unit 0 family inet] user@host# set address 10.1.2.3/30
Aplique o filtro na entrada.
[edit interfaces lo0 unit 0 family inet] user@host# set filter input ospf_filter
Confirme e confirme a configuração do seu candidato
Procedimento passo a passo
Para confirmar e então confirmar a configuração do seu candidato:
Confirme a configuração do filtro de firewall sem estado entrando no comando do
show firewall
modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.[edit] user@host# show firewall family inet { filter ospf_filter { term term1 { from { source-address { 10.108.0.0/16; } protocol ospf; } then { accept; } } term default_term { then { reject administratively-prohibited; # default reject action } } } }
Confirme a configuração da interface entrando no comando do
show interfaces
modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.[edit] user@host# show interfaces lo0 { unit 0 { family inet { filter { input ospf_filter; } address 10.1.2.3/30; } } }
Se você terminar de configurar o dispositivo, confirme a configuração do seu candidato.
[edit] user@host# commit
Verificação
Para confirmar que a configuração está funcionando corretamente, insira o comando do show firewall filter ospf_filter
modo operacional.