示例:配置过滤器以接受基于 IPv6 TCP 标志的数据包
此示例说明如何配置标准无状态防火墙过滤器以接受来自受信任源的数据包。
要求
配置此示例之前,不需要除设备初始化之外的特殊配置。
概述
在此示例中,您将创建一个过滤器,用于接受具有特定 IPv6 TCP 标志的数据包。
配置
下面的示例要求您在各个配置层级中进行导航。有关导航 CLI 的信息,请参见 在配置模式下使用 CLI 编辑器。
CLI 快速配置
要快速配置此示例,请将以下命令复制到文本文件中,删除所有换行符,然后将命令粘贴到层次结构级别的 CLI [edit]
中。
set firewall family inet6 filter tcp_filter term 1 from next-header tcp set firewall family inet6 filter tcp_filter term 1 from tcp-flags syn set firewall family inet6 filter tcp_filter term 1 then count tcp_syn_pkt set firewall family inet6 filter tcp_filter term 1 then log set firewall family inet6 filter tcp_filter term 1 then accept set interfaces lo0 unit 0 family inet6 filter input tcp_filter set interfaces lo0 unit 0 family inet6 address ::10.34.1.0/120
配置无状态防火墙过滤器
分步过程
配置防火墙过滤器
创建 IPv6 无状态防火墙过滤器 tcp_filter。
[edit] user@host# edit firewall family inet6 filter tcp_filter
如果数据包是 TCP 会话中的初始数据包,并且 IPv6 标头之后的下一个标头为 TCP 类型,则指定数据包匹配。
[edit firewall family inet6 filter tcp_filter] user@host# set term 1 from next-header tcp user@host# set term 1 from tcp-flags syn
指定对匹配的数据包进行计数、记录到数据包转发引擎上的缓冲区并接受。
[edit firewall family inet6 filter tcp_filter] user@host# set term 1 then count tcp_syn_pkt user@host# set term 1 then log user@host# set term 1 then accept
将防火墙过滤器应用于环路接口
分步过程
要将防火墙过滤器应用于环路接口,请执行以下操作:
[edit] user@host# set interfaces lo0 unit 0 family inet6 filter input tcp_filter user@host# set interfaces lo0 unit 0 family inet6 address ::10.34.1.0/120
确认并提交候选配置
分步过程
要确认并提交候选配置,请执行以下操作:
通过输入
show firewall
配置模式命令确认无状态防火墙过滤器的配置。如果命令输出未显示预期的配置,请重复此示例中的说明以更正配置。[edit] user@host# show firewall family inet6 { filter tcp_filter { term 1 { from { next-header tcp; tcp-flags syn; } then { count tcp_syn_pkt; log; accept; } } } }
通过输入
show interfaces
配置模式命令确认接口的配置。如果命令输出未显示预期的配置,请重复此示例中的说明以更正配置。[edit] user@host# show interfaces lo0 { unit 0 { family inet6 { filter { input tcp_filter; } address ::10.34.1.0/120; } } }
配置完设备后,提交候选配置。
[edit] user@host# commit
验证
要确认配置工作正常,请输入 show firewall 操作模式命令。