Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Nesta página
 

Exemplo: Configuração de um filtro de firewall sem estado para aceitar tráfego de fontes confiáveis

Este exemplo mostra como criar um filtro de firewall sem estado que protege o Mecanismo de Roteamento contra tráfego originado de fontes não confiáveis.

Requisitos

Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar filtros de firewall stateless.

Visão geral

Neste exemplo, você cria um filtro de firewall stateless chamado protect-RE que descarta todo o tráfego destinado ao mecanismo de roteamento, exceto pacotes de protocolo SSH e BGP de fontes confiáveis especificadas. Este exemplo inclui os seguintes termos de filtro de firewall:

  • — Aceita pacotes TCP com um endereço de origem e uma porta de destino que especifica o SSH.ssh-term192.168.122.0/24

  • — Aceita pacotes TCP com um endereço de origem e uma porta de destino que especifica BGP.bgp-term10.2.1.0/24

  • — Para todos os pacotes que não são aceitos por ou , cria um log de filtro de firewall e registros de registro de sistema, então descarta todos os pacotes.discard-rest-termssh-termbgp-term

Nota:

Você pode mover termos dentro do filtro de firewall usando o comando.insert Consulte a inserção no Guia de usuário do Junos OS CLI.inserthttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html

Configuração

Procedimento

Configuração rápida da CLI

Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere os detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e cole os comandos no CLI no nível de hierarquia.[edit]

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja no Guia de usuário do Junos OS CLI.Use o editor de CLI no modo de configuraçãohttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html

Para configurar o filtro de firewall sem estado:

  1. Crie o filtro de firewall sem estado.

  2. Crie o primeiro termo de filtro.

  3. Defina o protocolo, a porta de destino e as condições de correspondência do endereço de origem para o termo.

  4. Defina as ações para o termo.

  5. Crie o segundo termo de filtro.

  6. Defina o protocolo, a porta de destino e as condições de correspondência do endereço de origem para o termo.

  7. Definir a ação para o termo.

  8. Crie o terceiro termo de filtro.

  9. Definir a ação para o termo.

  10. Aplique o filtro no lado de entrada da interface do mecanismo de roteamento.

Resultados

Confirme sua configuração inserindo o comando e o comando do modo de configuração.show firewallshow interfaces lo0 Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Se você terminar de configurar o dispositivo, entre no modo de configuração.commit

Verificação

Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:

Exibição de configurações de filtro de firewall sem estado

Propósito

Verifique a configuração do filtro de firewall.

Ação

A partir do modo de configuração, insira o comando e o comando.show firewallshow interfaces lo0

Significado

Verifique se a saída mostra a configuração pretendida do filtro de firewall. Além disso, verifique se os termos estão listados na ordem em que você deseja que os pacotes sejam testados. Você pode mover termos dentro de um filtro de firewall usando o comando CLI.insert

Verificação de um filtro de firewall de serviços, protocolos e fontes confiáveis

Propósito

Verifique se as ações dos termos do filtro de firewall são tomadas.

Ação

Envie pacotes para o dispositivo compatível com os termos. Além disso, verifique se as ações do filtro são tomadas para pacotes que não são compatíveis.not

  • Use o comando de um host em um endereço IP que corresponda para verificar se você pode fazer login no dispositivo usando apenas SSH de um host com este prefixo de endereço.ssh host-name192.168.122.0/24

  • Use o comando para verificar se a tabela de roteamento do dispositivo não contém nenhuma entrada com um protocolo que não seja, ou .show route summaryDirectLocalBGPStatic

Saída de amostra
nome de comando
nome de comando

Significado

Verifique as seguintes informações:

  • Você pode fazer login com sucesso no dispositivo usando o SSH.

  • O comando não exibe um protocolo que não seja, ou.show route summaryDirectLocalBGPStatic

Exibição de logs de filtro de firewall sem estado

Propósito

Verifique se os pacotes estão sendo conectados. Se você incluiu a ou ação em um termo, verifique se os pacotes correspondentes ao termo são registrados no log de firewall ou na instalação de registro do seu sistema.logsyslog

Ação

A partir do modo operacional, entre no comando.show firewall log

Saída de amostra
nome de comando

Significado

Cada registro da saída contém informações sobre o pacote logado. Verifique as seguintes informações:

  • Em , a hora do dia em que o pacote foi filtrado é mostrado.Time

  • A saída é sempre .Filterpfe

  • Em , a ação configurada do termo corresponde à ação tomada no pacote — (aceito), (descarte), (rejeitar).ActionADR

  • Em , a interface de entrada (entrada) na qual o pacote chegou é apropriado para o filtro.Interface

  • Sob , o protocolo no cabeçalho IP do pacote é apropriado para o filtro.Protocol

  • Embaixo , o endereço de origem no cabeçalho IP do pacote é apropriado para o filtro.Src Addr

  • Embaixo , o endereço de destino no cabeçalho IP do pacote é apropriado para o filtro.Dest Addr

Tópicos relacionados