Nesta página
Exemplo: Configuração de um filtro de firewall sem estado para lidar com fragmentos
Este exemplo mostra como criar um filtro de firewall sem estado que lida com fragmentos de pacotes.
Requisitos
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar filtros de firewall stateless.
Visão geral
Neste exemplo, você cria um filtro de firewall stateless chamado que aceita pacotes fragmentados originados de 10.2.1.0/24 e destinados à porta BGP.fragment-RE
Este exemplo inclui os seguintes termos de filtro de firewall:
not-from-prefix-term
-–Descarta pacotes que não sejam de 10.2.1.0/24 para garantir que os termos subsequentes no filtro de firewall sejam combinados com pacotes somente de 10.2.1.0/24.small-offset-term
— Descarta pacotes de compensação pequenos (1–5) para garantir que os termos subsequentes no filtro de firewall possam ser combinados com todos os cabeçalhos do pacote. Além disso, o termo adiciona um registro aos destinos de registro do sistema para a instalação do firewall.not-fragmented-term
— Aceita pacotes TCP não estruturados com uma porta de destino que especifica o protocolo BGP. Um pacote é considerado semfragmente se a bandeira MF não estiver definida e a compensação do fragmento for igual a 0.first-fragment-term
— Aceita o primeiro fragmento de um pacote TCP fragmentado com uma porta de destino que especifica o protocolo BGP.— Aceita todos os fragmentos que não foram descartados por . (fragmentos de pacotes 6-8191).
fragment-term
small-offset-term
No entanto, apenas os fragmentos que fazem parte de um pacote que contém um primeiro fragmento aceito são remontados pelo dispositivo de destino.first-fragment-term
A compensação de fragmentos de pacotes pode ser de 1 a 8191.
Você pode mover termos dentro do filtro de firewall usando o comando.insert
Para obter mais informações, veja "inserir" no Guia de usuário do Junos OS CLI.inserthttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html
Topologia
Configuração
Configuração rápida da CLI
Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere os detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e cole os comandos no CLI no nível de hierarquia.[edit]
set firewall family inet filter fragment-RE term not-from-prefix-term from source-address 0.0.0.0/0 set firewall family inet filter fragment-RE term not-from-prefix-term from source-address 10.2.1.0/24 except set firewall family inet filter fragment-RE term not-from-prefix-term then discard set firewall family inet filter fragment-RE term small-offset-term from fragment-offset 1-5 set firewall family inet filter fragment-RE term small-offset-term then syslog set firewall family inet filter fragment-RE term small-offset-term then discard set firewall family inet filter fragment-RE term not-fragmented-term from fragment-offset 0 set firewall family inet filter fragment-RE term not-fragmented-term from fragment-flags "!more-fragments" set firewall family inet filter fragment-RE term not-fragmented-term from protocol tcp set firewall family inet filter fragment-RE term not-fragmented-term from destination-port bgp set firewall family inet filter fragment-RE term not-fragmented-term then accept set firewall family inet filter fragment-RE term first-fragment-term from first-fragment set firewall family inet filter fragment-RE term first-fragment-term from protocol tcp set firewall family inet filter fragment-RE term first-fragment-term from destination-port bgp set firewall family inet filter fragment-RE term first-fragment-term then accept set firewall family inet filter fragment-RE term fragment-term from fragment-offset 6-8191 set firewall family inet filter fragment-RE term fragment-term then accept
Procedimento
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja no Guia de usuário do Junos OS CLI.Use o editor de CLI no modo de configuraçãohttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html
Para configurar o filtro de firewall sem estado:
Defina o filtro de firewall sem estado.
[edit] user@host# edit firewall family inet filter fragment-RE
Configure o primeiro termo para o filtro.
[edit firewall family inet filter fragment-RE ] user@host# set term not-from-prefix-term from source-address 0.0.0.0/0 user@host# set term not-from-prefix-term from source-address 10.2.1.0/24 except user@host# set term not-from-prefix-term then discard
Definir o segundo termo para o filtro.
[edit firewall family inet filter fragment-RE] user@host# edit term small-offset-term
Definir as condições de correspondência para o termo.
[edit firewall family inet filter fragment-RE term small-offset-term] user@host# set from fragment-offset 1-5
Definir a ação para o termo.
[edit firewall family inet filter fragment-RE term small-offset-term] user@host# set then syslog discard
Definir o terceiro termo para o filtro.
[edit] user@host# edit firewall family inet filter fragment-RE term not-fragmented-term
Definir as condições de correspondência para o termo.
[edit firewall family inet filter fragment-RE term not-fragmented-term] user@host# set from fragment-flags "!more-fragments" fragment-offset 0 protocol tcp destination-port bgp
Definir a ação para o termo.
[edit firewall family inet filter fragment-RE term not-fragmented-term] user@host# set then accept
Definir o quarto termo para o filtro.
[edit] user@host# edit firewall family inet filter fragment-RE term first-fragment-term
Definir as condições de correspondência para o termo.
[edit firewall family inet filter fragment-RE term first-fragment-term] user@host# set from first-fragment protocol tcp destination-port bgp
Definir a ação para o termo.
[edit firewall family inet filter fragment-RE term first-fragment-term] user@host# set then accept
Definir o último termo para o filtro.
[edit] user@host# edit firewall family inet filter fragment-RE term fragment-term
Definir as condições de correspondência para o termo.
[edit firewall family inet filter fragment-RE term fragment-term] user@host# set from fragment-offset 6–8191
Definir a ação para o termo.
[edit firewall family inet filter fragment-RE term fragment-term] user@host# set then accept
Resultados
Confirme sua configuração inserindo o comando a partir do modo de configuração.show firewall
Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
user@host# show firewall family inet { filter fragment-RE { term not-from-prefix-term { from { source-address { 0.0.0.0/0; 10.2.1.0/24 except; } } then discard; } term small-offset-term { from { fragment-offset 1-5; } then { syslog; discard; } } term not-fragmented-term { from { fragment-offset 0; fragment-flags "!more-fragments"; protocol tcp; destination-port bgp; } then accept; } term first-fragment-term { from { first-fragment; protocol tcp; destination-port bgp; } then accept; } term fragment-term { from { fragment-offset 6-8191; } then accept; } } }
Se você terminar de configurar o dispositivo, entre no modo de configuração.commit
Verificação
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
- Exibição de configurações de filtro de firewall sem estado
- Verificação de um filtro de firewall que lida com fragmentos
Exibição de configurações de filtro de firewall sem estado
Propósito
Verifique a configuração do filtro de firewall. Você pode analisar o fluxo dos termos do filtro exibindo toda a configuração.
Ação
A partir do modo de configuração, entre no comando.show firewall
Significado
Verifique se a saída mostra a configuração pretendida do filtro de firewall. Além disso, verifique se os termos estão listados na ordem em que você deseja que os pacotes sejam testados. Você pode mover termos dentro de um filtro de firewall usando o comando CLI.insert
Verificação de um filtro de firewall que lida com fragmentos
Propósito
Verifique se as ações dos termos do filtro de firewall são tomadas.
Ação
Envie pacotes para o dispositivo compatível com os termos.
Significado
Verifique se os pacotes de 10.2.1.0/24 com pequenas compensações de fragmentos são registrados nos destinos de registro do sistema do dispositivo para a instalação do firewall.