示例:配置过滤器以匹配端口和协议字段
此示例说明如何配置标准无状态防火墙过滤器以匹配目标端口和协议字段。
要求
配置此示例之前,不需要除设备初始化之外的特殊配置。
概述
在此示例中,您将配置一个无状态防火墙过滤器,该过滤器接受除 TCP 和 UDP 数据包之外的所有 IPv4 数据包。如果发往 SSH 端口或 Telnet 端口,则接受 TCP 和 UDP 数据包。所有其他数据包都将被拒绝。
配置
下面的示例要求您在各个配置层级中进行导航。有关导航 CLI 的信息,请参见 在配置模式下使用 CLI 编辑器。
CLI 快速配置
要快速配置此示例,请将以下配置命令复制到文本文件中,删除所有换行符,然后将命令粘贴到层次结构级别的 CLI 中:[edit]
set firewall family inet filter filter1 term term1 from protocol-except tcp set firewall family inet filter filter1 term term1 from protocol-except udp set firewall family inet filter filter1 term term1 then accept set firewall family inet filter filter1 term term2 from address 192.168.0.0/16 set firewall family inet filter filter1 term term2 then reject set firewall family inet filter filter1 term term3 from destination-port ssh set firewall family inet filter filter1 term term3 from destination-port telnet set firewall family inet filter filter1 term term3 then accept set firewall family inet filter filter1 term term4 then reject set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30 set interfaces ge-0/0/1 unit 0 family inet filter input filter1
配置无状态防火墙过滤器
分步过程
要配置无状态防火墙过滤器 :filter1
创建 IPv4 无状态防火墙过滤器。
[edit] user@host# edit firewall family inet filter filter1
配置一个术语以接受除 TCP 和 UDP 数据包之外的所有流量。
[edit firewall family inet filter filter1] user@host# set term term1 from protocol-except tcp user@host# set term term1 from protocol-except udp user@host# set term term1 then accept
配置一个术语以拒绝传入或来自前缀的 数据包。
192.168/16[edit firewall family inet filter filter1] user@host# set term term2 from address 192.168.0.0/16 user@host# set term term2 then reject
配置一个术语以接受发往 SSH 端口或 Telnet 端口的数据包。
[edit firewall family inet filter filter1] user@host# set term term3 from destination-port ssh user@host# set term term3 from destination-port telnet user@host# set term term3 then accept
配置最后一个术语以拒绝所有数据包。
[edit firewall family inet filter filter1] user@host# set term term4 then reject
将无状态防火墙过滤器应用于逻辑接口
分步过程
要将无状态防火墙过滤器应用于逻辑接口,请执行以下操作:
配置要应用无状态防火墙过滤器的逻辑接口。
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
配置逻辑接口的接口地址。
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
将无状态防火墙过滤器应用于逻辑接口。
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input filter1
确认并提交候选配置
分步过程
要确认并提交候选配置,请执行以下操作:
通过输入 配置模式命令确认无状态防火墙过滤器的配置。
show firewall如果命令输出未显示预期的配置,请重复此示例中的说明以更正配置。[edit] user@host# show firewall family inet { filter filter1 { term term1 { from { protocol-except [tcp udp]; } then { accept; } } term term2 { from { address 192.168/16; } then { reject; } } term term3 { from { destination-port [ssh telnet]; } then { accept; } } term term4 { then { reject; } } } }通过输入 配置模式命令确认接口的配置。
show interfaces如果命令输出未显示预期的配置,请重复此示例中的说明以更正配置。[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { filter { input filter1; } address 10.1.2.3/30; } } }如果完成设备配置,请提交候选配置。
[edit] user@host# commit
验证
要确认配置工作正常,请输入 操作模式命令。show firewall filter filter1