示例:将过滤器配置为在端口和协议字段上匹配
此示例说明如何配置标准无状态防火墙过滤器,以便在目标端口和协议字段上匹配。
要求
配置此示例之前,无需设备初始化以外的特殊配置。
概述
在此示例中,您配置了一个无状态防火墙过滤器,该过滤器可接受除 TCP 和 UDP 数据包以外的所有 IPv4 数据包。如果前往 SSH 端口或 Telnet 端口,将接受 TCP 和 UDP 数据包。所有其他数据包均被拒绝。
配置
以下示例要求您在配置层次结构中导航各个级别。有关导航 CLI 的信息,请参阅 在配置模式下使用 CLI 编辑器。
CLI 快速配置
要快速配置此示例,请将以下配置命令复制到文本文件中,删除任何换行符,然后将命令粘贴到层级的 [edit] CLI 中:
set firewall family inet filter filter1 term term1 from protocol-except tcp set firewall family inet filter filter1 term term1 from protocol-except udp set firewall family inet filter filter1 term term1 then accept set firewall family inet filter filter1 term term2 from address 192.168.0.0/16 set firewall family inet filter filter1 term term2 then reject set firewall family inet filter filter1 term term3 from destination-port ssh set firewall family inet filter filter1 term term3 from destination-port telnet set firewall family inet filter filter1 term term3 then accept set firewall family inet filter filter1 term term4 then reject set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30 set interfaces ge-0/0/1 unit 0 family inet filter input filter1
配置无状态防火墙过滤器
逐步过程
要配置无状态防火墙过滤器 filter1:
创建 IPv4 无状态防火墙过滤器。
[edit] user@host# edit firewall family inet filter filter1
配置一个术语来接受除 TCP 和 UDP 数据包以外的所有信息流。
[edit firewall family inet filter filter1] user@host# set term term1 from protocol-except tcp user@host# set term term1 from protocol-except udp user@host# set term term1 then accept
配置一个术语以拒绝前缀或前缀上
192.168/16的数据包。[edit firewall family inet filter filter1] user@host# set term term2 from address 192.168.0.0/16 user@host# set term term2 then reject
配置术语以接受发往 SSH 端口或 Telnet 端口的数据包。
[edit firewall family inet filter filter1] user@host# set term term3 from destination-port ssh user@host# set term term3 from destination-port telnet user@host# set term term3 then accept
配置最后一个术语以拒绝所有数据包。
[edit firewall family inet filter filter1] user@host# set term term4 then reject
将无状态防火墙过滤器应用于逻辑接口
逐步过程
要将无状态防火墙过滤器应用到逻辑接口:
配置用于应用无状态防火墙过滤器的逻辑接口。
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
配置逻辑接口的接口地址。
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
将无状态防火墙过滤器应用于逻辑接口。
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input filter1
确认并提交您的候选配置
逐步过程
要确认,然后提交候选配置:
输入配置模式命令,确认无状态防火墙过滤器的
show firewall配置。如果命令输出未显示预期的配置,请重复此示例中的说明以更正配置。[edit] user@host# show firewall family inet { filter filter1 { term term1 { from { protocol-except [tcp udp]; } then { accept; } } term term2 { from { address 192.168/16; } then { reject; } } term term3 { from { destination-port [ssh telnet]; } then { accept; } } term term4 { then { reject; } } } }输入
show interfaces配置模式命令以确认接口的配置。如果命令输出未显示预期的配置,请重复此示例中的说明以更正配置。[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { filter { input filter1; } address 10.1.2.3/30; } } }完成设备配置后,提交候选配置。
[edit] user@host# commit
验证
要确认配置工作正常,请输入 show firewall filter filter1 操作模式命令。