Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemplo: Configuração de um filtro de firewall stateless para lidar com fragmentos

Este exemplo mostra como criar um filtro de firewall stateless que lida com fragmentos de pacotes.

Requisitos

Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar filtros de firewall stateless.

Visão geral

Neste exemplo, você cria um filtro de firewall stateless chamado fragment-RE que aceita pacotes fragmentados originários de 10.2.1.0/24 e destinados à porta BGP. Este exemplo inclui os seguintes termos de filtro de firewall:

  • not-from-prefix-term-- Descarta pacotes que não sejam de 10.2.1.0/24 para garantir que os termos subsequentes no filtro de firewall sejam combinados apenas com pacotes de 10.2.1.0/24.

  • small-offset-term— Descarta pacotes de compensação pequenos (de 1 a 5) para garantir que os termos subsequentes do filtro de firewall possam ser combinados com todos os cabeçalhos do pacote. Além disso, o termo adiciona um registro aos destinos de registro do sistema para as instalações de firewall.

  • not-fragmented-term— Aceita pacotes TCP não estruturados com uma porta de destino que especifica o protocolo BGP. Um pacote é considerado infragmental se a bandeira MF não for definida e o fragmento for igual a 0.

  • first-fragment-term— Aceita o primeiro fragmento de um pacote TCP fragmentado com uma porta de destino que especifica o protocolo BGP.

  • fragment-term— Aceita todos os fragmentos que não foram descartados por small-offset-term. (fragmentos de pacotes de 6 a 8191). No entanto, apenas os fragmentos que fazem parte de um pacote contendo um primeiro fragmento aceito são first-fragment-term remontados pelo dispositivo de destino.

A compensação de fragmentos de pacotes pode ser de 1 a 8191.

Nota:

Você pode mover termos dentro do filtro de firewall usando o insert comando. Para obter mais informações, consulte "inserir" no Guia de usuário do Junos OS CLI.

Topologia

Configuração

Configuração rápida de CLI

Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede e, em seguida, copie e cole os comandos no CLI no nível de [edit] hierarquia.

Procedimento

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Use o editor de CLI no modo de configuração o Guia de usuário do Junos OS CLI.

Para configurar o filtro de firewall stateless:

  1. Defina o filtro de firewall stateless.

  2. Configure o primeiro termo para o filtro.

  3. Defina o segundo termo para o filtro.

  4. Defina as condições de correspondência para o termo.

  5. Defina a ação para o termo.

  6. Defina o terceiro termo para o filtro.

  7. Defina as condições de correspondência para o termo.

  8. Defina a ação para o termo.

  9. Definir o quarto termo para o filtro.

  10. Defina as condições de correspondência para o termo.

  11. Defina a ação para o termo.

  12. Definir o último termo para o filtro.

  13. Defina as condições de correspondência para o termo.

  14. Defina a ação para o termo.

Resultados

Confirme sua configuração entrando no comando a show firewall partir do modo de configuração. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Se terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:

Exibição de configurações de filtro de firewall stateless

Propósito

Verifique a configuração do filtro de firewall. Você pode analisar o fluxo dos termos do filtro exibindo toda a configuração.

Ação

A partir do modo de configuração, entre no show firewall comando.

Significado

Verifique se a saída mostra a configuração pretendida do filtro de firewall. Além disso, verifique se os termos estão listados na ordem em que você deseja que os pacotes sejam testados. Você pode mover termos dentro de um filtro de firewall usando o insert comando CLI.

Verificar um filtro de firewall que lida com fragmentos

Propósito

Verifique se as ações dos termos do filtro de firewall são tomadas.

Ação

Enviar pacotes para o dispositivo que corresponda aos termos.

Significado

Verifique se os pacotes de 10.2.1.0/24 com pequenas compensações de fragmentos são registrados nos destinos de registro do sistema do dispositivo para a instalação do firewall.