Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Nesta página
 

Exemplo: Configuração de um filtro para bloquear o acesso TFTP

Requisitos

Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar este exemplo.

Visão geral

Por padrão, para diminuir a vulnerabilidade a ataques de negação de serviço (DoS), o Junos OS filtra e descarta pacotes de protocolo de configuração dinâmica de host (DHCP) ou Boottrap Protocol (BOOTP) que têm um endereço fonte de 0,0.0.0 e um endereço de destino de 255.255.255.255. Este filtro padrão é conhecido como uma verificação de RPF unicast. No entanto, o equipamento de alguns fornecedores aceita automaticamente esses pacotes.

Topologia

Para interoperar com equipamentos de outros fornecedores, você pode configurar um filtro que verifica ambos os endereços e substitui o filtro de verificação RPF padrão aceitando esses pacotes. Neste exemplo, você bloqueia o acesso ao Trivial File Transfer Protocol (TFTP), registrando qualquer tentativa de estabelecer conexões TFTP.

Configuração

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, veja Use o editor de CLI no modo de configuração.

Para configurar este exemplo, execute as seguintes tarefas:

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos de configuração em um arquivo de texto, remova qualquer quebra de linha e cole os comandos na CLI no nível de hierarquia.[edit]

Configure o filtro de firewall stateless

Procedimento passo a passo

Para configurar o filtro de firewall sem estado que bloqueia seletivamente o acesso TFTP:

  1. Crie o filtro de firewall sem estado .tftp_access_control

  2. Especifique uma correspondência em pacotes recebidos na porta UDP 69.

  3. Especifique se os pacotes combinados serão conectados ao buffer no Mecanismo de encaminhamento de pacotes e depois descartados.

Aplique o filtro de firewall na interface de loopback

Procedimento passo a passo

Para aplicar o filtro de firewall na interface de loopback:

Confirme e confirme a configuração do seu candidato

Procedimento passo a passo

Para confirmar e então confirmar a configuração do seu candidato:

  1. Confirme a configuração do filtro de firewall sem estado entrando no comando do modo de configuração.show firewall Se a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

  2. Confirme a configuração da interface entrando no comando do modo de configuração.show interfaces Se a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

  3. Se você terminar de configurar o dispositivo, confirme a configuração do seu candidato.

Verificação

Confirme que a configuração está operando corretamente:

Verificação de pacotes logados e descartados

Propósito

Verifique se as ações dos termos do filtro de firewall são tomadas.

Ação

Para

  1. Libere o log de firewall em seu roteador ou switch.

  2. De outro host, envie um pacote para a porta UDP neste roteador ou switch.69

Tópicos relacionados