Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在本页
 

示例:为无状态防火墙过滤器术语配置日志记录

此示例说明如何配置标准无状态防火墙过滤器来记录数据包标头。

要求

配置此示例之前,不需要除设备初始化之外的特殊配置。

概述

在此示例中,您使用无状态防火墙过滤器来记录和计数作为 其源或目标的 ICMP 数据包。192.168.207.222

配置

下面的示例要求您在各个配置层级中进行导航。有关导航 CLI 的信息,请参见 。在配置模式下使用 CLI 编辑器

要配置此示例,请执行以下操作:

CLI 快速配置

要快速配置此示例,请将以下配置命令复制到文本文件中,删除所有换行符,然后将命令粘贴到层次结构级别的 CLI 中。[edit]

为防火墙设施配置 syslog 消息文件

分步过程

要为 设施配置系统日志消息文件:firewall

  1. 为设施生成 的所有系统日志消息配置消息文件。firewall

  2. 将对存档 设施系统日志文件的权限限制为 root 用户和具有 Junos OS 维护权限的用户。firewall

配置无状态防火墙过滤器

分步过程

要配置记录和计数作为源或目标的 ICMP 数据包的无状态防火墙过滤器,请执行以下操作:icmp_syslog192.168.207.222

  1. 创建无状态防火墙过滤器 。icmp_syslog

  2. 在 ICMP 协议和地址上配置匹配。

  3. 计数、记录并接受匹配的数据包。

  4. 接受所有其他数据包。

将无状态防火墙过滤器应用于逻辑接口

分步过程

要将无状态防火墙过滤器应用于逻辑接口,请执行以下操作:

  1. 配置要应用无状态防火墙过滤器的逻辑接口。

  2. 配置逻辑接口的接口地址。

  3. 将无状态防火墙过滤器应用于逻辑接口。

确认并提交候选配置

分步过程

要确认并提交候选配置,请执行以下操作:

  1. 通过输入配置模式命令确认设施的系统日志消息文件的配置。firewallshow system 如果命令输出未显示预期的配置,请重复此示例中的说明以更正配置。

  2. 通过输入 配置模式命令确认无状态防火墙过滤器的配置。show firewall 如果命令输出未显示预期的配置,请重复此示例中的说明以更正配置。

  3. 通过输入 配置模式命令确认接口的配置。show interfaces 如果命令输出未显示预期的配置,请重复此示例中的说明以更正配置。

  4. 如果完成设备配置,请提交候选配置。

验证

要确认配置工作正常,请输入 以下命令:show log filter

此输出文件包含以下字段:

  • Date and Time—接收数据包的日期和时间(未在默认值中显示)。

  • 过滤器操作:

    • A- 接受(或下一个学期)

    • D- 丢弃

    • R—拒绝

  • Protocol—数据包的协议名称或编号。

  • Source address— 数据包中的源 IP 地址。

  • Destination address—数据包中的目标 IP 地址。

    注:

    如果协议为 ICMP,则显示 ICMP 类型和代码。对于所有其他协议,将显示源端口和目标端口。

最后两个字段(均为零)分别是源和目标 TCP/UDP 端口,仅针对 TCP 或 UDP 数据包显示。此日志消息指示在大约一秒的间隔内仅检测到此匹配项的一个数据包。如果数据包到达速度更快,系统日志功能将压缩信息,以便生成较少的输出,并显示类似于以下内容的输出:

相关主题