Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemplo: Configuração de um filtro de firewall sem estado para lidar com fragmentos

Este exemplo mostra como criar um filtro de firewall sem estado que lida com fragmentos de pacotes.

Requisitos

Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar filtros de firewall stateless.

Visão geral

Neste exemplo, você cria um filtro de firewall stateless chamado que aceita pacotes fragmentados originados de 10.2.1.0/24 e destinados à porta BGP.fragment-RE Este exemplo inclui os seguintes termos de filtro de firewall:

  • not-from-prefix-term-–Descarta pacotes que não sejam de 10.2.1.0/24 para garantir que os termos subsequentes no filtro de firewall sejam combinados com pacotes somente de 10.2.1.0/24.

  • small-offset-term— Descarta pacotes de compensação pequenos (1–5) para garantir que os termos subsequentes no filtro de firewall possam ser combinados com todos os cabeçalhos do pacote. Além disso, o termo adiciona um registro aos destinos de registro do sistema para a instalação do firewall.

  • not-fragmented-term— Aceita pacotes TCP não estruturados com uma porta de destino que especifica o protocolo BGP. Um pacote é considerado semfragmente se a bandeira MF não estiver definida e a compensação do fragmento for igual a 0.

  • first-fragment-term— Aceita o primeiro fragmento de um pacote TCP fragmentado com uma porta de destino que especifica o protocolo BGP.

  • — Aceita todos os fragmentos que não foram descartados por . (fragmentos de pacotes 6-8191).fragment-termsmall-offset-term No entanto, apenas os fragmentos que fazem parte de um pacote que contém um primeiro fragmento aceito são remontados pelo dispositivo de destino.first-fragment-term

A compensação de fragmentos de pacotes pode ser de 1 a 8191.

Nota:

Você pode mover termos dentro do filtro de firewall usando o comando.insert Para obter mais informações, veja "inserir" no Guia de usuário do Junos OS CLI.inserthttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html

Topologia

Configuração

Configuração rápida da CLI

Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere os detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e cole os comandos no CLI no nível de hierarquia.[edit]

Procedimento

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja no Guia de usuário do Junos OS CLI.Use o editor de CLI no modo de configuraçãohttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html

Para configurar o filtro de firewall sem estado:

  1. Defina o filtro de firewall sem estado.

  2. Configure o primeiro termo para o filtro.

  3. Definir o segundo termo para o filtro.

  4. Definir as condições de correspondência para o termo.

  5. Definir a ação para o termo.

  6. Definir o terceiro termo para o filtro.

  7. Definir as condições de correspondência para o termo.

  8. Definir a ação para o termo.

  9. Definir o quarto termo para o filtro.

  10. Definir as condições de correspondência para o termo.

  11. Definir a ação para o termo.

  12. Definir o último termo para o filtro.

  13. Definir as condições de correspondência para o termo.

  14. Definir a ação para o termo.

Resultados

Confirme sua configuração inserindo o comando a partir do modo de configuração.show firewall Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Se você terminar de configurar o dispositivo, entre no modo de configuração.commit

Verificação

Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:

Exibição de configurações de filtro de firewall sem estado

Propósito

Verifique a configuração do filtro de firewall. Você pode analisar o fluxo dos termos do filtro exibindo toda a configuração.

Ação

A partir do modo de configuração, entre no comando.show firewall

Significado

Verifique se a saída mostra a configuração pretendida do filtro de firewall. Além disso, verifique se os termos estão listados na ordem em que você deseja que os pacotes sejam testados. Você pode mover termos dentro de um filtro de firewall usando o comando CLI.insert

Verificação de um filtro de firewall que lida com fragmentos

Propósito

Verifique se as ações dos termos do filtro de firewall são tomadas.

Ação

Envie pacotes para o dispositivo compatível com os termos.

Significado

Verifique se os pacotes de 10.2.1.0/24 com pequenas compensações de fragmentos são registrados nos destinos de registro do sistema do dispositivo para a instalação do firewall.