Auf dieser Seite
Beispiel: Konfigurieren eines Filters zur Beschränkung des TCP-Zugriffs auf einen Port basierend auf einer Präfixliste
In diesem Beispiel wird gezeigt, wie ein standardmäßiger zustandsloser Firewallfilter konfiguriert wird, der bestimmten TCP- und ICMP-Datenverkehr (Internet Control Message Protocol) einschränkt, der für die Routing-Engine bestimmt ist, indem eine Liste von Präfixquellen angegeben wird, die zulässige BGP-Peers enthalten.
Anforderungen
Vor der Konfiguration dieses Beispiels ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.
Überblick
In diesem Beispiel erstellen Sie einen zustandslosen Firewallfilter, der alle TCP-Verbindungsversuche über Port 179 von allen Anforderern blockiert, mit Ausnahme von BGP-Peers mit einem angegebenen Präfix.
Topologie
Es wird eine Quellpräfixliste erstellt, plist_bgp179die die Liste der Quellpräfixe angibt, die zulässige BGP-Peers enthalten.
Der zustandslose Firewallfilter filter_bgp179 gleicht alle Pakete aus der Quellpräfixliste plist_bgp179 mit der Zielportnummer 179 ab.
Konfiguration
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, und kopieren Sie dann die Befehle und fügen Sie sie in die CLI auf Hierarchieebene [edit] ein.
set policy-options prefix-list plist_bgp179 apply-path "protocols bgp group <*> neighbor <*>" set firewall family inet filter filter_bgp179 term 1 from source-address 0.0.0.0/0 set firewall family inet filter filter_bgp179 term 1 from source-prefix-list plist_bgp179 except set firewall family inet filter filter_bgp179 term 1 from destination-port bgp set firewall family inet filter filter_bgp179 term 1 then reject set firewall family inet filter filter_bgp179 term 2 then accept set interfaces lo0 unit 0 family inet filter input filter_bgp179 set interfaces lo0 unit 0 family inet address 127.0.0.1/32
Konfigurieren des Filters
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.
So konfigurieren Sie den Filter:
Erweitern Sie die Präfixliste bgp179 , um alle Präfixe einzuschließen, auf die die BGP-Peergruppe zeigt, die durch definiert ist protocols bgp group <*> neighbor <*>.
[edit policy-options prefix-list plist_bgp179] user@host# set apply-path " protocols bgp group <*> neighbor <*>"
Definieren Sie den Filterbegriff, der TCP-Verbindungsversuche an Port 179 von allen Anforderern mit Ausnahme der angegebenen BGP-Peers ablehnt.
[edit firewall family inet filter filter_bgp179] user@host# set term term1 from source-address 0.0.0.0/0 user@host# set term term1 from source-prefix-list bgp179 except user@host# set term term1 from destination-port bgp user@host# set term term1 then reject
Definieren Sie den anderen Filterbegriff, um alle Pakete zu akzeptieren.
[edit firewall family inet filter filter_bgp179] user@host# set term term2 then accept
Wenden Sie den Firewall-Filter auf die Loopback-Schnittstelle an.
[edit interfaces lo0 unit 0 family inet] user@host# set filter input filter_bgp179 user@host# set address 127.0.0.1/32
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show firewallBefehle , show interfacesund show policy-options eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
user@host# show firewall
family inet {
filter filter_bgp179 {
term 1 {
from {
source-address {
0.0.0.0/0;
}
source-prefix-list {
plist_bgp179 except;
}
destination-port bgp;
}
then {
reject;
}
}
term 2 {
then {
accept;
}
}
}
}
user@host# show interfaces
lo0 {
unit 0 {
family inet {
filter {
input filter_bgp179;
}
address 127.0.0.1/32;
}
}
}
user@host# show policy-options
prefix-list plist_bgp179 {
apply-path "protocols bgp group <*> neighbor <*>";
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Verifizierung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
Anzeigen des Firewall-Filters, der auf die Loopback-Schnittstelle angewendet wird
Zweck
Stellen Sie sicher, dass der Firewallfilter filter_bgp179 auf den IPv4-Eingabedatenverkehr an der logischen Schnittstelle lo0.0angewendet wird.
Action!
Verwenden Sie den Befehl für die show interfaces statistics operational mode logische Schnittstelle lo0.0und schließen Sie die detail Option ein. Unter dem Protocol inet Abschnitt des Befehlsausgabeabschnitts zeigt das Input Filters Feld den Namen des zustandslosen Firewallfilters an, der auf die logische Schnittstelle in Eingaberichtung angewendet wird.
[edit]
user@host> show interfaces statistics lo0.0 detail
Logical interface lo0.0 (Index 321) (SNMP ifIndex 16) (Generation 130)
Flags: SNMP-Traps Encapsulation: Unspecified
Traffic statistics:
Input bytes : 0
Output bytes : 0
Input packets: 0
Output packets: 0
Local statistics:
Input bytes : 0
Output bytes : 0
Input packets: 0
Output packets: 0
Transit statistics:
Input bytes : 0 0 bps
Output bytes : 0 0 bps
Input packets: 0 0 pps
Output packets: 0 0 pps
Protocol inet, MTU: Unlimited, Generation: 145, Route table: 0
Flags: Sendbcast-pkt-to-re
Input Filters: filter_bgp179
Addresses, Flags: Primary
Destination: Unspecified, Local: 127.0.0.1, Broadcast: Unspecified, Generation: 138