Nesta página
Exemplo: Configuração de um filtro de firewall sem estado para aceitar tráfego de fontes confiáveis
Este exemplo mostra como criar um filtro de firewall sem estado que protege o Mecanismo de Roteamento contra tráfego originado de fontes não confiáveis.
Requisitos
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar filtros de firewall stateless.
Visão geral
Neste exemplo, você cria um filtro de firewall stateless chamado protect-RE que descarta todo o tráfego destinado ao mecanismo de roteamento, exceto pacotes de protocolo SSH e BGP de fontes confiáveis especificadas. Este exemplo inclui os seguintes termos de filtro de firewall:
— Aceita pacotes TCP com um endereço de origem e uma porta de destino que especifica o SSH.
ssh-term
192.168.122.0/24
— Aceita pacotes TCP com um endereço de origem e uma porta de destino que especifica BGP.
bgp-term
10.2.1.0/24
— Para todos os pacotes que não são aceitos por ou , cria um log de filtro de firewall e registros de registro de sistema, então descarta todos os pacotes.
discard-rest-term
ssh-term
bgp-term
Você pode mover termos dentro do filtro de firewall usando o comando.insert
Consulte a inserção no Guia de usuário do Junos OS CLI.inserthttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html
Configuração
Procedimento
Configuração rápida da CLI
Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere os detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e cole os comandos no CLI no nível de hierarquia.[edit]
set firewall family inet filter protect-RE term ssh-term from source-address 192.168.122.0/24 set firewall family inet filter protect-RE term ssh-term from protocol tcp set firewall family inet filter protect-RE term ssh-term from destination-port ssh set firewall family inet filter protect-RE term ssh-term then accept set firewall family inet filter protect-RE term bgp-term from source-address 10.2.1.0/24 set firewall family inet filter protect-RE term bgp-term from protocol tcp set firewall family inet filter protect-RE term bgp-term from destination-port bgp set firewall family inet filter protect-RE term bgp-term then accept set firewall family inet filter protect-RE term discard-rest-term then log set firewall family inet filter protect-RE term discard-rest-term then syslog set firewall family inet filter protect-RE term discard-rest-term then discard set interfaces lo0 unit 0 family inet filter input protect-RE
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja no Guia de usuário do Junos OS CLI.Use o editor de CLI no modo de configuraçãohttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html
Para configurar o filtro de firewall sem estado:
Crie o filtro de firewall sem estado.
[edit] user@host# edit firewall family inet filter protect-RE
Crie o primeiro termo de filtro.
[edit firewall family inet filter protect-RE] user@host# edit term ssh-term
Defina o protocolo, a porta de destino e as condições de correspondência do endereço de origem para o termo.
[edit firewall family inet filter protect-RE term ssh-term] user@host# set from protocol tcp destination-port ssh source-address 192.168.122.0/24
Defina as ações para o termo.
[edit firewall family inet filter protect-RE term ssh-term] user@host# set then accept
Crie o segundo termo de filtro.
[edit firewall family inet filter protect-RE] user@host# edit term bgp-term
Defina o protocolo, a porta de destino e as condições de correspondência do endereço de origem para o termo.
[edit firewall family inet filter protect-RE term bgp-term] user@host# set from protocol tcp destination-port bgp source-address 10.2.1.0/24
Definir a ação para o termo.
[edit firewall family inet filter protect-RE term bgp-term] user@host# set then accept
Crie o terceiro termo de filtro.
[edit firewall family inet filter protect-RE] user@host# edit term discard-rest-term
Definir a ação para o termo.
[edit firewall family inet filter protect-RE term discard-rest] user@host# set then log syslog discard
Aplique o filtro no lado de entrada da interface do mecanismo de roteamento.
[edit] user@host# set interfaces lo0 unit 0 family inet filter input protect-RE
Resultados
Confirme sua configuração inserindo o comando e o comando do modo de configuração.show firewall
show interfaces lo0
Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
user@host# show firewall family inet { filter protect-RE { term ssh-term { from { source-address { 192.168.122.0/24; } protocol tcp; destination-port ssh; } then accept; } term bgp-term { from { source-address { 10.2.1.0/24; } protocol tcp; destination-port bgp; } then accept; } term discard-rest-term { then { log; syslog; discard; } } } }
user@host# show interfaces lo0 unit 0 { family inet { filter { input protect-RE; } address 127.0.0.1/32; } }
Se você terminar de configurar o dispositivo, entre no modo de configuração.commit
[edit] user@host# commit
Verificação
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
- Exibição de configurações de filtro de firewall sem estado
- Verificação de um filtro de firewall de serviços, protocolos e fontes confiáveis
- Exibição de logs de filtro de firewall sem estado
Exibição de configurações de filtro de firewall sem estado
Propósito
Verifique a configuração do filtro de firewall.
Ação
A partir do modo de configuração, insira o comando e o comando.show firewall
show interfaces lo0
Significado
Verifique se a saída mostra a configuração pretendida do filtro de firewall. Além disso, verifique se os termos estão listados na ordem em que você deseja que os pacotes sejam testados. Você pode mover termos dentro de um filtro de firewall usando o comando CLI.insert
Verificação de um filtro de firewall de serviços, protocolos e fontes confiáveis
Propósito
Verifique se as ações dos termos do filtro de firewall são tomadas.
Ação
Envie pacotes para o dispositivo compatível com os termos. Além disso, verifique se as ações do filtro são tomadas para pacotes que não são compatíveis.not
Use o comando de um host em um endereço IP que corresponda para verificar se você pode fazer login no dispositivo usando apenas SSH de um host com este prefixo de endereço.
ssh host-name
192.168.122.0/24
Use o comando para verificar se a tabela de roteamento do dispositivo não contém nenhuma entrada com um protocolo que não seja, ou .
show route summary
Direct
Local
BGP
Static
Saída de amostra
nome de comando
% ssh 192.168.249.71 %ssh host user@host's password: --- JUNOS 6.4-20040518.0 (JSERIES) #0: 2004-05-18 09:27:50 UTC user@host>
nome de comando
user@host> show route summary Router ID: 192.168.249.71 inet.0: 34 destinations, 34 routes (33 active, 0 holddown, 1 hidden) Direct: 10 routes, 9 active Local: 9 routes, 9 active BGP: 10 routes, 10 active Static: 5 routes, 5 active ...
Significado
Verifique as seguintes informações:
Você pode fazer login com sucesso no dispositivo usando o SSH.
O comando não exibe um protocolo que não seja, ou.
show route summary
Direct
Local
BGP
Static
Exibição de logs de filtro de firewall sem estado
Propósito
Verifique se os pacotes estão sendo conectados. Se você incluiu a ou ação em um termo, verifique se os pacotes correspondentes ao termo são registrados no log de firewall ou na instalação de registro do seu sistema.log
syslog
Ação
A partir do modo operacional, entre no comando.show firewall log
Saída de amostra
nome de comando
user@host> show firewall log Log : Time Filter Action Interface Protocol Src Addr Dest Addr 15:11:02 pfe D ge-0/0/0.0 TCP 172.17.28.19 192.168.70.71 15:11:01 pfe D ge-0/0/0.0 TCP 172.17.28.19 192.168.70.71 15:11:01 pfe D ge-0/0/0.0 TCP 172.17.28.19 192.168.70.71 15:11:01 pfe D ge-0/0/0.0 TCP 172.17.28.19 192.168.70.71 ...
Significado
Cada registro da saída contém informações sobre o pacote logado. Verifique as seguintes informações:
Em , a hora do dia em que o pacote foi filtrado é mostrado.
Time
A saída é sempre .
Filter
pfe
Em , a ação configurada do termo corresponde à ação tomada no pacote — (aceito), (descarte), (rejeitar).
Action
A
D
R
Em , a interface de entrada (entrada) na qual o pacote chegou é apropriado para o filtro.
Interface
Sob , o protocolo no cabeçalho IP do pacote é apropriado para o filtro.
Protocol
Embaixo , o endereço de origem no cabeçalho IP do pacote é apropriado para o filtro.
Src Addr
Embaixo , o endereço de destino no cabeçalho IP do pacote é apropriado para o filtro.
Dest Addr