示例:配置过滤器以接受来自前缀的 OSPF 数据包
此示例说明如何配置标准无状态防火墙过滤器以接受来自受信任源的数据包。
要求
配置此示例之前,不需要除设备初始化之外的特殊配置。
概述
在此示例中,您将创建一个过滤器,该过滤器仅接受来自前缀 10.108.0.0/16 中某个地址的 OSPF 数据包,丢弃带有 ICMP 消息的 所有其他数据包administratively-prohibited
配置
下面的示例要求您在各个配置层级中进行导航。有关导航 CLI 的信息,请参见 。在配置模式下使用 CLI 编辑器
要配置此示例,请执行以下操作:
CLI 快速配置
要快速配置此示例,请将以下配置命令复制到文本文件中,删除所有换行符,然后将命令粘贴到层次结构级别的 CLI 中。[edit]
set firewall family inet filter ospf_filter term term1 from source-address 10.108.0.0/16 set firewall family inet filter ospf_filter term term1 from protocol ospf set firewall family inet filter ospf_filter term term1 then accept set firewall family inet filter ospf_filter term default-term then reject administratively-prohibited set interfaces lo0 unit 0 family inet address 10.1.2.3/30 set interfaces lo0 unit 0 family inet filter input ospf_filter
配置无状态防火墙过滤器
分步过程
要配置无状态防火墙过滤器 :ospf_filter
创建筛选器。
[edit] user@host# edit firewall family inet filter ospf_filter
配置接受数据包的术语。
[edit firewall family inet filter ospf_filter] user@host# set term term1 from source-address 10.108.0.0/16 user@host# set term term1 from protocol ospf user@host# set term term1 then accept
配置拒绝所有其他数据包的术语。
[edit firewall family inet filter ospf_filter] user@host# set term default_term then reject administratively-prohibited
将防火墙过滤器应用于环路接口
分步过程
要将防火墙过滤器应用于环路接口,请执行以下操作:
配置接口。
[edit] user@host# edit interfaces lo0 unit 0 family inet
配置逻辑接口 IP 地址。
[edit interfaces lo0 unit 0 family inet] user@host# set address 10.1.2.3/30
将筛选器应用于输入。
[edit interfaces lo0 unit 0 family inet] user@host# set filter input ospf_filter
确认并提交候选配置
分步过程
要确认并提交候选配置,请执行以下操作:
通过输入 配置模式命令确认无状态防火墙过滤器的配置。
show firewall
如果命令输出未显示预期的配置,请重复此示例中的说明以更正配置。[edit] user@host# show firewall family inet { filter ospf_filter { term term1 { from { source-address { 10.108.0.0/16; } protocol ospf; } then { accept; } } term default_term { then { reject administratively-prohibited; # default reject action } } } }
通过输入 配置模式命令确认接口的配置。
show interfaces
如果命令输出未显示预期的配置,请重复此示例中的说明以更正配置。[edit] user@host# show interfaces lo0 { unit 0 { family inet { filter { input ospf_filter; } address 10.1.2.3/30; } } }
如果完成设备配置,请提交候选配置。
[edit] user@host# commit
验证
要确认配置工作正常,请输入 操作模式命令。show firewall filter ospf_filter