示例:将过滤器配置为基于地址接受 DHCP 数据包
此示例说明如何配置标准无状态防火墙过滤器以接受来自受信任源的数据包。
要求
此示例仅在 MX 系列路由器和 EX 系列交换机上受支持。
概述
在此示例中,您将创建一个过滤器 (),该过滤器 (rpf_dhcp
) 接受源地址为 0.0.0.0
、目标地址为 255.255.255.255
的 DHCP 数据包。
配置
下面的示例要求您在各个配置层级中进行导航。有关导航 CLI 的信息,请参见 在配置模式下使用 CLI 编辑器。
CLI 快速配置
要快速配置此示例,请将以下配置命令复制到文本文件中,删除所有换行符,然后将命令粘贴到层次结构级别的 CLI [edit]
中。
set firewall family inet filter rpf_dhcp term dhcp_term from source-address 0.0.0.0/32 set firewall family inet filter rpf_dhcp term dhcp_term from destination-address 255.255.255.255/32 set firewall family inet filter rpf_dhcp term dhcp_term then accept set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30 set interfaces ge-0/0/1 unit 0 family inet filter input sam
配置无状态防火墙过滤器
分步过程
要配置无状态防火墙过滤器,请执行以下操作:
创建无状态防火墙过滤器
rpf_dhcp
。[edit] user@host# edit firewall family inet filter rpf_dhcp
配置术语以匹配源地址为 和
0.0.0.0
目标地址255.255.255.255
为 的数据包。[edit firewall family inet filter rpf_dhcp] user@host# set term dhcp_term from source-address 0.0.0.0/32 user@host# set term dhcp_term from destination-address 255.255.255.255/32
将术语配置为接受与指定条件匹配的数据包。
[edit firewall family inet filter rpf_dhcp] set term dhcp_term then accept
将防火墙过滤器应用于环路接口
分步过程
要将过滤器应用于环路接口上的输入:
rpf_dhcp
如果数据包未到达预期路径,则应用过滤器。[edit] user@host# set interfaces lo0 unit 0 family inet rpf-check fail-filter rpf_dhcp
配置环路接口的地址。
[edit] user@host# set interfaces lo0 unit 0 family inet address 127.0.0.1/32
确认并提交候选配置
分步过程
要确认并提交候选配置,请执行以下操作:
通过输入
show firewall
配置模式命令确认无状态防火墙过滤器的配置。如果命令输出未显示预期的配置,请重复此示例中的说明以更正配置。[edit] user@host# show firewall family inet { filter rpf_dhcp { term dhcp_term { from { source-address { 0.0.0.0/32; } destination-address { 255.255.255.255/32; } } then accept; } } }
通过输入
show interfaces
配置模式命令确认接口的配置。如果命令输出未显示预期的配置,请重复此示例中的说明以更正配置。[edit] user@host# show interfaces lo0 { unit 0 { family inet { filter { rpf-check { fail-filter rpf_dhcp; mode loose; } } address 127.0.0.1/32; } } }
配置完设备后,提交候选配置。
[edit] user@host# commit
验证
要确认配置工作正常,请输入 show firewall
操作模式命令。