Nesta página
Example: Configurando um filtro de firewall stateless para lidar com fragmentos
Este exemplo mostra como criar um filtro de firewall stateless que lida com fragmentos de pacotes.
Requisitos
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar filtros de firewall stateless.
Visão geral
Neste exemplo, você cria um filtro de firewall stateless chamado fragment-RE que aceita pacotes fragmentados originados de 10.2.1.0/24 e destinados à porta BGP. Este exemplo inclui os seguintes termos de filtro de firewall:
not-from-prefix-term-- Descarte pacotes que não sejam de 10.2.1.0/24 para garantir que os termos subseqüentes no filtro de firewall sejam combinados apenas com pacotes a partir de 10.2.1.0/24.small-offset-term— Descarta pacotes de compensação pequenos (1-5) para garantir que os termos subseqüentes no filtro de firewall possam ser combinados com todos os cabeçalhos do pacote. Além disso, o termo adiciona um registro aos destinos de registro do sistema para as instalações de firewall.not-fragmented-term— Aceita pacotes TCP não estruturados com uma porta de destino que especifica o protocolo BGP. Um pacote é considerado infragmental se a bandeira MF não for definida e a compensação do fragmento for igual a 0.first-fragment-term— Aceita o primeiro fragmento de um pacote TCP fragmentado com uma porta de destino que especifica o protocolo BGP.fragment-term— Aceita todos os fragmentos que não foram descartados porsmall-offset-term. (fragmentos de pacotes 6-8191). No entanto, apenas os fragmentos que fazem parte de um pacote que contém um primeiro fragmento aceito sãofirst-fragment-termremontados pelo dispositivo de destino.
A compensação de fragmentos de pacotes pode ser de 1 a 8191.
Você pode mover termos dentro do filtro de firewall usando o insert comando. Para obter mais informações, consulte "inserir" no Guia de usuário do Junos OS CLI.
Topologia
Configuração
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere os detalhes necessários para combinar com a configuração de sua rede e, em seguida, copie e cole os comandos na CLI no nível de [edit] hierarquia.
set firewall family inet filter fragment-RE term not-from-prefix-term from source-address 0.0.0.0/0 set firewall family inet filter fragment-RE term not-from-prefix-term from source-address 10.2.1.0/24 except set firewall family inet filter fragment-RE term not-from-prefix-term then discard set firewall family inet filter fragment-RE term small-offset-term from fragment-offset 1-5 set firewall family inet filter fragment-RE term small-offset-term then syslog set firewall family inet filter fragment-RE term small-offset-term then discard set firewall family inet filter fragment-RE term not-fragmented-term from fragment-offset 0 set firewall family inet filter fragment-RE term not-fragmented-term from fragment-flags "!more-fragments" set firewall family inet filter fragment-RE term not-fragmented-term from protocol tcp set firewall family inet filter fragment-RE term not-fragmented-term from destination-port bgp set firewall family inet filter fragment-RE term not-fragmented-term then accept set firewall family inet filter fragment-RE term first-fragment-term from first-fragment set firewall family inet filter fragment-RE term first-fragment-term from protocol tcp set firewall family inet filter fragment-RE term first-fragment-term from destination-port bgp set firewall family inet filter fragment-RE term first-fragment-term then accept set firewall family inet filter fragment-RE term fragment-term from fragment-offset 6-8191 set firewall family inet filter fragment-RE term fragment-term then accept
Procedimento
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Use o editor de CLI no modo de configuração o Guia de usuário do Junos OS CLI.
Para configurar o filtro de firewall stateless:
Defina o filtro de firewall stateless.
[edit] user@host# edit firewall family inet filter fragment-RE
Configure o primeiro termo para o filtro.
[edit firewall family inet filter fragment-RE ] user@host# set term not-from-prefix-term from source-address 0.0.0.0/0 user@host# set term not-from-prefix-term from source-address 10.2.1.0/24 except user@host# set term not-from-prefix-term then discard
Defina o segundo termo para o filtro.
[edit firewall family inet filter fragment-RE] user@host# edit term small-offset-term
Defina as condições de correspondência para o termo.
[edit firewall family inet filter fragment-RE term small-offset-term] user@host# set from fragment-offset 1-5
Defina a ação para o termo.
[edit firewall family inet filter fragment-RE term small-offset-term] user@host# set then syslog discard
Defina o terceiro termo para o filtro.
[edit] user@host# edit firewall family inet filter fragment-RE term not-fragmented-term
Defina as condições de correspondência para o termo.
[edit firewall family inet filter fragment-RE term not-fragmented-term] user@host# set from fragment-flags "!more-fragments" fragment-offset 0 protocol tcp destination-port bgp
Defina a ação para o termo.
[edit firewall family inet filter fragment-RE term not-fragmented-term] user@host# set then accept
Defina o quarto termo para o filtro.
[edit] user@host# edit firewall family inet filter fragment-RE term first-fragment-term
Defina as condições de correspondência para o termo.
[edit firewall family inet filter fragment-RE term first-fragment-term] user@host# set from first-fragment protocol tcp destination-port bgp
Defina a ação para o termo.
[edit firewall family inet filter fragment-RE term first-fragment-term] user@host# set then accept
Defina o último termo para o filtro.
[edit] user@host# edit firewall family inet filter fragment-RE term fragment-term
Defina as condições de correspondência para o termo.
[edit firewall family inet filter fragment-RE term fragment-term] user@host# set from fragment-offset 6–8191
Defina a ação para o termo.
[edit firewall family inet filter fragment-RE term fragment-term] user@host# set then accept
Resultados
Confirme sua configuração entrando no comando a show firewall partir do modo de configuração. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
user@host# show firewall
family inet {
filter fragment-RE {
term not-from-prefix-term {
from {
source-address {
0.0.0.0/0;
10.2.1.0/24 except;
}
}
then discard;
}
term small-offset-term {
from {
fragment-offset 1-5;
}
then {
syslog;
discard;
}
}
term not-fragmented-term {
from {
fragment-offset 0;
fragment-flags "!more-fragments";
protocol tcp;
destination-port bgp;
}
then accept;
}
term first-fragment-term {
from {
first-fragment;
protocol tcp;
destination-port bgp;
}
then accept;
}
term fragment-term {
from {
fragment-offset 6-8191;
}
then accept;
}
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Para confirmar se a configuração está funcionando corretamente, execute essas tarefas:
- Exibindo configurações de filtro de firewall stateless
- Verificando um filtro de firewall que lida com fragmentos
Exibindo configurações de filtro de firewall stateless
Propósito
Verifique a configuração do filtro de firewall. Você pode analisar o fluxo dos termos do filtro exibindo toda a configuração.
Ação
Do modo de configuração, entre no show firewall comando.
Significado
Verifique se a saída mostra a configuração pretendida do filtro de firewall. Além disso, verifique se os termos estão listados na ordem em que você deseja que os pacotes sejam testados. Você pode mover termos dentro de um filtro de firewall usando o insert comando CLI.
Verificando um filtro de firewall que lida com fragmentos
Propósito
Verifique se as ações dos termos do filtro de firewall são tomadas.
Ação
Envie pacotes para o dispositivo que correspondam aos termos.
Significado
Verifique se pacotes a partir de 10.2.1.0/24 com pequenas compensações de fragmentos são registrados nos destinos de registro do sistema do dispositivo para a instalação do firewall.