示例:配置过滤器以匹配端口和协议字段
此示例演示如何配置标准无状态防火墙过滤器以匹配目标端口和协议字段。
要求
配置此示例之前,不需要在设备初始化之外进行特殊配置。
概述
在此示例中,您将配置一个无状态防火墙过滤器,用于接受除 TCP 和 UDP 数据包之外的所有 IPv4 数据包。如果目标为 SSH 端口或 Telnet 端口,则接受 TCP 和 UDP 数据包。所有其他数据包都将被拒绝。
配置
下面的示例要求您在配置层次结构中导航各个级别。有关导航导航CLI,请参阅 在配置模式中使用 CLI 编辑器 。
CLI 快速配置
要快速配置此示例,请将以下配置命令复制到一个文本文件中,卸下任何换行符,然后将命令粘贴到[edit]层次结构级别的 CLI 中:
set firewall family inet filter filter1 term term1 from protocol-except tcp set firewall family inet filter filter1 term term1 from protocol-except udp set firewall family inet filter filter1 term term1 then accept set firewall family inet filter filter1 term term2 from address 192.168.0.0/16 set firewall family inet filter filter1 term term2 then reject set firewall family inet filter filter1 term term3 from destination-port ssh set firewall family inet filter filter1 term term3 from destination-port telnet set firewall family inet filter filter1 term term3 then accept set firewall family inet filter filter1 term term4 then reject set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30 set interfaces ge-0/0/1 unit 0 family inet filter input filter1
配置无状态防火墙过滤器
分步过程
要配置无状态防火墙过滤器filter1:
创建 IPv4 无状态防火墙过滤器。
[edit] user@host# edit firewall family inet filter filter1
配置一个术语,以接受除 TCP 和 UDP 数据包之外的所有流量。
[edit firewall family inet filter filter1] user@host# set term term1 from protocol-except tcp user@host# set term term1 from protocol-except udp user@host# set term term1 then accept
配置一个术语,以便拒绝来自或来自
192.168/16前缀的数据包。[edit firewall family inet filter filter1] user@host# set term term2 from address 192.168.0.0/16 user@host# set term term2 then reject
配置一个术语,以接受发往 SSH 端口或 Telnet 端口的数据包。
[edit firewall family inet filter filter1] user@host# set term term3 from destination-port ssh user@host# set term term3 from destination-port telnet user@host# set term term3 then accept
将最后一项配置为拒绝所有数据包。
[edit firewall family inet filter filter1] user@host# set term term4 then reject
将无状态防火墙过滤器应用于逻辑接口
分步过程
要将无状态防火墙过滤器应用于逻辑接口:
配置将应用无状态防火墙过滤器的逻辑接口。
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
配置逻辑接口的接口地址。
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
将无状态防火墙过滤器应用于逻辑接口。
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input filter1
确认并提交您的候选配置
分步过程
要确认然后提交候选配置:
进入
show firewall配置模式命令,确认无状态防火墙过滤器的配置。如果命令输出未显示预期的配置,请重复此示例中的说明以更正配置。[edit] user@host# show firewall family inet { filter filter1 { term term1 { from { protocol-except [tcp udp]; } then { accept; } } term term2 { from { address 192.168/16; } then { reject; } } term term3 { from { destination-port [ssh telnet]; } then { accept; } } term term4 { then { reject; } } } }进入
show interfaces配置模式命令,确认接口配置。如果命令输出未显示预期的配置,请重复此示例中的说明以更正配置。[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { filter { input filter1; } address 10.1.2.3/30; } } }如果您完成了设备配置,请提交您的候选配置。
[edit] user@host# commit
针对
要确认配置是否正常工作,请输入显示防火墙 filter filter1操作模式命令。