Nesta página
Exemplo: Configuração de um filtro para bloquear o acesso TFTP
Requisitos
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar este exemplo.
Visão geral
Por padrão, para diminuir a vulnerabilidade a ataques de negação de serviço (DoS), o Junos OS filtra e descarta pacotes de protocolo de configuração dinâmica de host (DHCP) ou Boottrap Protocol (BOOTP) que têm um endereço fonte de 0,0.0.0 e um endereço de destino de 255.255.255.255. Este filtro padrão é conhecido como uma verificação de RPF unicast. No entanto, o equipamento de alguns fornecedores aceita automaticamente esses pacotes.
Topologia
Para interoperar com equipamentos de outros fornecedores, você pode configurar um filtro que verifica ambos os endereços e substitui o filtro de verificação RPF padrão aceitando esses pacotes. Neste exemplo, você bloqueia o acesso ao Trivial File Transfer Protocol (TFTP), registrando qualquer tentativa de estabelecer conexões TFTP.
Configuração
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, veja Use o editor de CLI no modo de configuração.
Para configurar este exemplo, execute as seguintes tarefas:
- Configuração rápida da CLI
- Configure o filtro de firewall stateless
- Aplique o filtro de firewall na interface de loopback
- Confirme e confirme a configuração do seu candidato
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos de configuração em um arquivo de texto, remova qualquer quebra de linha e cole os comandos na CLI no nível de [edit]
hierarquia.
set firewall family inet filter tftp_access_control term one from protocol udp set firewall family inet filter tftp_access_control term one from port tftp set firewall family inet filter tftp_access_control term one then log set firewall family inet filter tftp_access_control term one then discard set interfaces lo0 unit 0 family inet filter input tftp_access_control set interfaces lo0 unit 0 family inet address 127.0.0.1/32
Configure o filtro de firewall stateless
Procedimento passo a passo
Para configurar o filtro de firewall sem estado que bloqueia seletivamente o acesso TFTP:
Crie o filtro de firewall sem estado
tftp_access_control
.[edit] user@host# edit firewall family inet filter tftp_access_control
Especifique uma correspondência em pacotes recebidos na porta UDP 69.
[edit firewall family inet filter tftp_access_control] user@host# set term one from protocol udp user@host# set term one from port tftp
Especifique se os pacotes combinados serão conectados ao buffer no Mecanismo de encaminhamento de pacotes e depois descartados.
[edit firewall family inet filter tftp_access_control] user@host# set term one then log user@host# set term one then discard
Aplique o filtro de firewall na interface de loopback
Procedimento passo a passo
Para aplicar o filtro de firewall na interface de loopback:
[edit] user@host# set interfaces lo0 unit 0 family inet filter input tftp_access_control user@host# set interfaces lo0 unit 0 family inet address 127.0.0.1/32
Confirme e confirme a configuração do seu candidato
Procedimento passo a passo
Para confirmar e então confirmar a configuração do seu candidato:
Confirme a configuração do filtro de firewall sem estado entrando no comando do
show firewall
modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.[edit] user@host# show firewall family inet { filter tftp_access_control { term one { from { protocol udp; port tftp; } then { log; discard; } } } }
Confirme a configuração da interface entrando no comando do
show interfaces
modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.[edit] user@host# show interfaces lo0 { unit 0 { family inet { filter { input tftp_access_control; } address 127.0.0.1/32; } } }
Se você terminar de configurar o dispositivo, confirme a configuração do seu candidato.
[edit] user@host# commit
Verificação
Confirme que a configuração está operando corretamente:
Verificação de pacotes logados e descartados
Propósito
Verifique se as ações dos termos do filtro de firewall são tomadas.
Ação
Para
Libere o log de firewall em seu roteador ou switch.
user@myhost> clear firewall log
De outro host, envie um pacote para a porta
69
UDP neste roteador ou switch.