示例:配置过滤器以计算接受和拒绝的数据包
此示例说明如何配置防火墙过滤器以对数据包进行计数。
要求
配置此示例之前,不需要除设备初始化之外的特殊配置。
概述
在此示例中,您使用无状态防火墙过滤器拒绝除 192.168.5.0/24 之外的所有地址。
拓扑
在第一项中,匹配条件 会导致此地址被视为不匹配,并将此地址传递到过滤器中的下一个项。address 192.168.5.0/24 except 匹配条件 匹配所有其他数据包,这些数据包将被计数、记录和拒绝。address 0.0.0.0/0
在第二个术语中,通过第一个术语通过的所有数据包(即地址匹配 的数据包)将被计数、记录和接受。192.168.5.0/24
配置
下面的示例要求您在各个配置层级中进行导航。有关导航 CLI 的信息,请参见 。在配置模式下使用 CLI 编辑器
要配置此示例,请执行以下操作:
CLI 快速配置
要快速配置此示例,请将以下配置命令复制到文本文件中,删除所有换行符,然后将命令粘贴到层次结构级别的 CLI 中。[edit]
set firewall family inet filter fire1 term 1 from address 192.168.5.0/24 except set firewall family inet filter fire1 term 1 from address 0.0.0.0/0 set firewall family inet filter fire1 term 1 then count reject_pref1_1 set firewall family inet filter fire1 term 1 then log set firewall family inet filter fire1 term 1 then reject set firewall family inet filter fire1 term 2 then count reject_pref1_2 set firewall family inet filter fire1 term 2 then log set firewall family inet filter fire1 term 2 then accept set interfaces ge-0/0/1 unit 0 family inet filter input fire1 set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30
配置无状态防火墙过滤器
分步过程
要配置无状态防火墙过滤器 :fire1
创建无状态防火墙过滤器 。
fire1[edit] user@host# edit firewall family inet filter fire1
将第一个术语配置为拒绝除前缀地址之外的所有地址 ,然后统计、记录和拒绝所有其他数据包。
192.168.5.0/24[edit firewall family inet filter fire1] user@host# set term 1 from address 192.168.5.0/24 except user@host# set term 1 from address 0.0.0.0/0 user@host# set term 1 then count reject_pref1_1 user@host# set term 1 then log user@host# set term 1 then reject
配置下一个术语以对前缀中的 数据包进行计数、记录和接受。
192.168.5.0/24[edit firewall family inet filter fire1] user@host# set term 2 then count reject_pref1_2 user@host# set term 2 then log user@host# set term 2 then accept
将无状态防火墙过滤器应用于逻辑接口
分步过程
要将无状态防火墙过滤器应用于逻辑接口,请执行以下操作:
配置要应用无状态防火墙过滤器的逻辑接口。
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
配置逻辑接口的接口地址。
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
将无状态防火墙过滤器应用于逻辑接口。
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input fire1
确认并提交候选配置
分步过程
要确认并提交候选配置,请执行以下操作:
通过输入 配置模式命令确认无状态防火墙过滤器的配置。
show firewall如果命令输出未显示预期的配置,请重复此示例中的说明以更正配置。[edit] user@host# show firewall family inet { filter fire1 { term 1 { from { address { 192.168.5.0/24 except; 0.0.0.0/0; } } then { count reject_pref1_1; log; reject; } } term 2 { then { count reject_pref1_2; log; accept; } } } }通过输入 配置模式命令确认接口的配置。
show interfaces如果命令输出未显示预期的配置,请重复此示例中的说明以更正配置。[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { filter { input fire1; } address 10.1.2.3/30; } } }如果完成设备配置,请提交候选配置。
[edit] user@host# commit
验证
要确认配置工作正常,请输入 操作模式命令。show firewall filter fire1 还可以使用以下形式的命令分别显示日志和单个计数器:
show firewall counter reject_pref1_1show firewall counter reject_pref1_2