Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemplo: Configuração de um filtro de firewall sem estado para aceitar tráfego de fontes confiáveis

Este exemplo mostra como criar um filtro de firewall sem estado que protege o Mecanismo de Roteamento contra tráfego originado de fontes não confiáveis.

Requisitos

Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar filtros de firewall stateless.

Visão geral

Neste exemplo, você cria um filtro de firewall stateless chamado protect-RE que descarta todo o tráfego destinado ao mecanismo de roteamento, exceto pacotes de protocolo SSH e BGP de fontes confiáveis especificadas. Este exemplo inclui os seguintes termos de filtro de firewall:

  • ssh-term— Aceita pacotes TCP com um endereço de origem e uma porta de 192.168.122.0/24 destino que especifica o SSH.

  • bgp-term— Aceita pacotes TCP com um endereço de origem e uma porta de 10.2.1.0/24 destino que especifica BGP.

  • discard-rest-term— Para todos os pacotes que não são aceitos por ssh-term ou bgp-term, cria um log de filtro de firewall e registros de registro de sistema, então descarta todos os pacotes.

Nota:

Você pode mover termos dentro do filtro de firewall usando o insert comando. Consulte a inserção no Guia de usuário do Junos OS CLI.

Configuração

Procedimento

Configuração rápida da CLI

Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere os detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e cole os comandos no CLI no nível de [edit] hierarquia.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Use o editor de CLI no modo de configuração no Guia de usuário do Junos OS CLI.

Para configurar o filtro de firewall sem estado:

  1. Crie o filtro de firewall sem estado.

  2. Crie o primeiro termo de filtro.

  3. Defina o protocolo, a porta de destino e as condições de correspondência do endereço de origem para o termo.

  4. Defina as ações para o termo.

  5. Crie o segundo termo de filtro.

  6. Defina o protocolo, a porta de destino e as condições de correspondência do endereço de origem para o termo.

  7. Definir a ação para o termo.

  8. Crie o terceiro termo de filtro.

  9. Definir a ação para o termo.

  10. Aplique o filtro no lado de entrada da interface do mecanismo de roteamento.

Resultados

Confirme sua configuração inserindo o show firewall comando e o comando do show interfaces lo0 modo de configuração. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:

Exibição de configurações de filtro de firewall sem estado

Propósito

Verifique a configuração do filtro de firewall.

Ação

A partir do modo de configuração, insira o show firewall comando e o show interfaces lo0 comando.

Significado

Verifique se a saída mostra a configuração pretendida do filtro de firewall. Além disso, verifique se os termos estão listados na ordem em que você deseja que os pacotes sejam testados. Você pode mover termos dentro de um filtro de firewall usando o insert comando CLI.

Verificação de um filtro de firewall de serviços, protocolos e fontes confiáveis

Propósito

Verifique se as ações dos termos do filtro de firewall são tomadas.

Ação

Envie pacotes para o dispositivo compatível com os termos. Além disso, verifique se as ações do filtro são not tomadas para pacotes que não são compatíveis.

  • Use o ssh host-name comando de um host em um endereço IP que corresponda 192.168.122.0/24 para verificar se você pode fazer login no dispositivo usando apenas SSH de um host com este prefixo de endereço.

  • Use o show route summary comando para verificar se a tabela de roteamento do dispositivo não contém nenhuma entrada com um protocolo que não sejaDirect, BGPLocalou Static.

Saída de amostra
nome de comando
nome de comando

Significado

Verifique as seguintes informações:

  • Você pode fazer login com sucesso no dispositivo usando o SSH.

  • O show route summary comando não exibe um protocolo que Directnão seja, LocalBGPouStatic.

Exibição de logs de filtro de firewall sem estado

Propósito

Verifique se os pacotes estão sendo conectados. Se você incluiu a ou syslog ação log em um termo, verifique se os pacotes correspondentes ao termo são registrados no log de firewall ou na instalação de registro do seu sistema.

Ação

A partir do modo operacional, entre no show firewall log comando.

Saída de amostra
nome de comando

Significado

Cada registro da saída contém informações sobre o pacote logado. Verifique as seguintes informações:

  • Em Time, a hora do dia em que o pacote foi filtrado é mostrado.

  • A Filter saída é sempre pfe.

  • Em Action, a ação configurada do termo corresponde à ação tomada no pacote —A (aceito), D (descarte), R (rejeitar).

  • Em Interface, a interface de entrada (entrada) na qual o pacote chegou é apropriado para o filtro.

  • Sob Protocol, o protocolo no cabeçalho IP do pacote é apropriado para o filtro.

  • Embaixo Src Addr, o endereço de origem no cabeçalho IP do pacote é apropriado para o filtro.

  • Embaixo Dest Addr, o endereço de destino no cabeçalho IP do pacote é apropriado para o filtro.