Nesta página
Exemplo: Configuração de um filtro de firewall sem estado para aceitar tráfego de fontes confiáveis
Este exemplo mostra como criar um filtro de firewall sem estado que protege o Mecanismo de Roteamento contra tráfego originado de fontes não confiáveis.
Requisitos
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar filtros de firewall stateless.
Visão geral
Neste exemplo, você cria um filtro de firewall stateless chamado protect-RE que descarta todo o tráfego destinado ao mecanismo de roteamento, exceto pacotes de protocolo SSH e BGP de fontes confiáveis especificadas. Este exemplo inclui os seguintes termos de filtro de firewall:
ssh-term
— Aceita pacotes TCP com um endereço de origem e uma porta de192.168.122.0/24
destino que especifica o SSH.bgp-term
— Aceita pacotes TCP com um endereço de origem e uma porta de10.2.1.0/24
destino que especifica BGP.discard-rest-term
— Para todos os pacotes que não são aceitos porssh-term
oubgp-term
, cria um log de filtro de firewall e registros de registro de sistema, então descarta todos os pacotes.
Você pode mover termos dentro do filtro de firewall usando o insert
comando. Consulte a inserção no Guia de usuário do Junos OS CLI.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere os detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e cole os comandos no CLI no nível de [edit]
hierarquia.
set firewall family inet filter protect-RE term ssh-term from source-address 192.168.122.0/24 set firewall family inet filter protect-RE term ssh-term from protocol tcp set firewall family inet filter protect-RE term ssh-term from destination-port ssh set firewall family inet filter protect-RE term ssh-term then accept set firewall family inet filter protect-RE term bgp-term from source-address 10.2.1.0/24 set firewall family inet filter protect-RE term bgp-term from protocol tcp set firewall family inet filter protect-RE term bgp-term from destination-port bgp set firewall family inet filter protect-RE term bgp-term then accept set firewall family inet filter protect-RE term discard-rest-term then log set firewall family inet filter protect-RE term discard-rest-term then syslog set firewall family inet filter protect-RE term discard-rest-term then discard set interfaces lo0 unit 0 family inet filter input protect-RE
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Use o editor de CLI no modo de configuração no Guia de usuário do Junos OS CLI.
Para configurar o filtro de firewall sem estado:
Crie o filtro de firewall sem estado.
[edit] user@host# edit firewall family inet filter protect-RE
Crie o primeiro termo de filtro.
[edit firewall family inet filter protect-RE] user@host# edit term ssh-term
Defina o protocolo, a porta de destino e as condições de correspondência do endereço de origem para o termo.
[edit firewall family inet filter protect-RE term ssh-term] user@host# set from protocol tcp destination-port ssh source-address 192.168.122.0/24
Defina as ações para o termo.
[edit firewall family inet filter protect-RE term ssh-term] user@host# set then accept
Crie o segundo termo de filtro.
[edit firewall family inet filter protect-RE] user@host# edit term bgp-term
Defina o protocolo, a porta de destino e as condições de correspondência do endereço de origem para o termo.
[edit firewall family inet filter protect-RE term bgp-term] user@host# set from protocol tcp destination-port bgp source-address 10.2.1.0/24
Definir a ação para o termo.
[edit firewall family inet filter protect-RE term bgp-term] user@host# set then accept
Crie o terceiro termo de filtro.
[edit firewall family inet filter protect-RE] user@host# edit term discard-rest-term
Definir a ação para o termo.
[edit firewall family inet filter protect-RE term discard-rest] user@host# set then log syslog discard
Aplique o filtro no lado de entrada da interface do mecanismo de roteamento.
[edit] user@host# set interfaces lo0 unit 0 family inet filter input protect-RE
Resultados
Confirme sua configuração inserindo o show firewall
comando e o comando do show interfaces lo0
modo de configuração. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
user@host# show firewall family inet { filter protect-RE { term ssh-term { from { source-address { 192.168.122.0/24; } protocol tcp; destination-port ssh; } then accept; } term bgp-term { from { source-address { 10.2.1.0/24; } protocol tcp; destination-port bgp; } then accept; } term discard-rest-term { then { log; syslog; discard; } } } }
user@host# show interfaces lo0 unit 0 { family inet { filter { input protect-RE; } address 127.0.0.1/32; } }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
[edit] user@host# commit
Verificação
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
- Exibição de configurações de filtro de firewall sem estado
- Verificação de um filtro de firewall de serviços, protocolos e fontes confiáveis
- Exibição de logs de filtro de firewall sem estado
Exibição de configurações de filtro de firewall sem estado
Propósito
Verifique a configuração do filtro de firewall.
Ação
A partir do modo de configuração, insira o show firewall
comando e o show interfaces lo0
comando.
Significado
Verifique se a saída mostra a configuração pretendida do filtro de firewall. Além disso, verifique se os termos estão listados na ordem em que você deseja que os pacotes sejam testados. Você pode mover termos dentro de um filtro de firewall usando o insert
comando CLI.
Verificação de um filtro de firewall de serviços, protocolos e fontes confiáveis
Propósito
Verifique se as ações dos termos do filtro de firewall são tomadas.
Ação
Envie pacotes para o dispositivo compatível com os termos. Além disso, verifique se as ações do filtro são not tomadas para pacotes que não são compatíveis.
Use o
ssh host-name
comando de um host em um endereço IP que corresponda192.168.122.0/24
para verificar se você pode fazer login no dispositivo usando apenas SSH de um host com este prefixo de endereço.Use o
show route summary
comando para verificar se a tabela de roteamento do dispositivo não contém nenhuma entrada com um protocolo que não sejaDirect
,BGP
Local
ouStatic
.
Saída de amostra
nome de comando
% ssh 192.168.249.71 %ssh host user@host's password: --- JUNOS 6.4-20040518.0 (JSERIES) #0: 2004-05-18 09:27:50 UTC user@host>
nome de comando
user@host> show route summary Router ID: 192.168.249.71 inet.0: 34 destinations, 34 routes (33 active, 0 holddown, 1 hidden) Direct: 10 routes, 9 active Local: 9 routes, 9 active BGP: 10 routes, 10 active Static: 5 routes, 5 active ...
Significado
Verifique as seguintes informações:
Você pode fazer login com sucesso no dispositivo usando o SSH.
O
show route summary
comando não exibe um protocolo queDirect
não seja,Local
BGP
ouStatic
.
Exibição de logs de filtro de firewall sem estado
Propósito
Verifique se os pacotes estão sendo conectados. Se você incluiu a ou syslog
ação log
em um termo, verifique se os pacotes correspondentes ao termo são registrados no log de firewall ou na instalação de registro do seu sistema.
Ação
A partir do modo operacional, entre no show firewall log
comando.
Saída de amostra
nome de comando
user@host> show firewall log Log : Time Filter Action Interface Protocol Src Addr Dest Addr 15:11:02 pfe D ge-0/0/0.0 TCP 172.17.28.19 192.168.70.71 15:11:01 pfe D ge-0/0/0.0 TCP 172.17.28.19 192.168.70.71 15:11:01 pfe D ge-0/0/0.0 TCP 172.17.28.19 192.168.70.71 15:11:01 pfe D ge-0/0/0.0 TCP 172.17.28.19 192.168.70.71 ...
Significado
Cada registro da saída contém informações sobre o pacote logado. Verifique as seguintes informações:
Em
Time
, a hora do dia em que o pacote foi filtrado é mostrado.A
Filter
saída é semprepfe
.Em
Action
, a ação configurada do termo corresponde à ação tomada no pacote —A
(aceito),D
(descarte),R
(rejeitar).Em
Interface
, a interface de entrada (entrada) na qual o pacote chegou é apropriado para o filtro.Sob
Protocol
, o protocolo no cabeçalho IP do pacote é apropriado para o filtro.Embaixo
Src Addr
, o endereço de origem no cabeçalho IP do pacote é apropriado para o filtro.Embaixo
Dest Addr
, o endereço de destino no cabeçalho IP do pacote é apropriado para o filtro.