Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemplo: Configurar um filtro de firewall stateless para aceitar tráfego de fontes confiáveis

Este exemplo mostra como criar um filtro de firewall stateless que protege o mecanismo de roteamento contra o tráfego originário de fontes não confiáveis.

Requisitos

Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar filtros de firewall stateless.

Visão geral

Neste exemplo, você cria um filtro de firewall stateless chamado protect-RE que descarta todo o tráfego destinado ao Mecanismo de Roteamento, exceto pacotes de protocolo SSH e BGP de fontes confiáveis especificadas. Este exemplo inclui os seguintes termos de filtro de firewall:

  • ssh-term— Aceita pacotes TCP com um endereço de origem e uma porta de 192.168.122.0/24 destino que especifica SSH.

  • bgp-term— Aceita pacotes TCP com um endereço de origem e uma porta de 10.2.1.0/24 destino que especifica BGP.

  • discard-rest-term— Para todos os pacotes que não são aceitos por ssh-term ou bgp-term, cria um registro de filtro de firewall e registros de registro de sistema, então descarta todos os pacotes.

Nota:

Você pode mover termos dentro do filtro de firewall usando o insert comando. Consulte a inserção no Guia de Usuário do Junos OS CLI.

Configuração

Procedimento

Configuração rápida de CLI

Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede e, em seguida, copie e cole os comandos no CLI no nível de [edit] hierarquia.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Use o editor de CLI no modo de configuração o Guia de usuário do Junos OS CLI.

Para configurar o filtro de firewall stateless:

  1. Crie o filtro de firewall stateless.

  2. Crie o primeiro termo de filtro.

  3. Defina o protocolo, a porta de destino e as condições de correspondência do endereço de origem para o termo.

  4. Defina as ações para o termo.

  5. Crie o segundo termo de filtro.

  6. Defina o protocolo, a porta de destino e as condições de correspondência do endereço de origem para o termo.

  7. Defina a ação para o termo.

  8. Crie o terceiro termo de filtro.

  9. Defina a ação para o termo.

  10. Aplique o filtro no lado de entrada da interface do mecanismo de roteamento.

Resultados

Confirme sua configuração entrando no show firewall comando e no comando a show interfaces lo0 partir do modo de configuração. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Se terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:

Exibição de configurações de filtro de firewall stateless

Propósito

Verifique a configuração do filtro de firewall.

Ação

A partir do modo de configuração, entre no show firewall comando e no show interfaces lo0 comando.

Significado

Verifique se a saída mostra a configuração pretendida do filtro de firewall. Além disso, verifique se os termos estão listados na ordem em que você deseja que os pacotes sejam testados. Você pode mover termos dentro de um filtro de firewall usando o insert comando CLI.

Verificando um filtro de firewall de serviços, protocolos e fontes confiáveis

Propósito

Verifique se as ações dos termos do filtro de firewall são tomadas.

Ação

Enviar pacotes para o dispositivo que corresponda aos termos. Além disso, verifique se as ações do filtro não são tomadas para pacotes que não correspondem.

  • Use o ssh host-name comando de um host em um endereço IP que combina 192.168.122.0/24 para verificar se você pode fazer login no dispositivo usando apenas SSH de um host com este prefixo de endereço.

  • Use o show route summary comando para verificar se a tabela de roteamento do dispositivo não contém nenhuma entrada com um protocolo que Directnão seja, Localou BGPStatic.

Saída de amostra
nome de comando
nome de comando

Significado

Verifique as seguintes informações:

  • Você pode fazer login com sucesso no dispositivo usando SSH.

  • O show route summary comando não exibe um protocolo diferenteDirect, LocalBGPouStatic.

Exibição de logs de filtro de firewall stateless

Propósito

Verifique se os pacotes estão sendo registrados. Se você incluiu a ação ou syslog a ação log em um termo, verifique se os pacotes correspondentes ao termo são registrados no log de firewall ou na instalação de registro do seu sistema.

Ação

A partir do modo operacional, entre no show firewall log comando.

Saída de amostra
nome de comando

Significado

Cada registro da saída contém informações sobre o pacote logado. Verifique as seguintes informações:

  • Embaixo Time, a hora do dia em que o pacote foi filtrado é mostrado.

  • A Filter saída é sempre pfe.

  • Em Action, a ação configurada do termo corresponde à ação tomada no pacote—A (aceitar), D (descartar), R (rejeitar).

  • Em Interface, a interface de entrada (entrada) na qual o pacote chegou é apropriado para o filtro.

  • Embaixo Protocol, o protocolo no cabeçalho IP do pacote é apropriado para o filtro.

  • Embaixo Src Addr, o endereço de origem no cabeçalho IP do pacote é apropriado para o filtro.

  • Embaixo Dest Addr, o endereço de destino no cabeçalho IP do pacote é apropriado para o filtro.