Auf dieser Seite
Beispiel: Konfigurieren der Protokollierung für eine zustandslose Firewall Filterbegriff
In diesem Beispiel wird gezeigt, wie ein standardmäßiger zustandsloser Firewallfilter für die Protokollierung von Paketheadern konfiguriert wird.
Anforderungen
Vor der Konfiguration dieses Beispiels ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.
Überblick
In diesem Beispiel verwenden Sie einen zustandslosen Firewallfilter, der ICMP-Pakete protokolliert und zählt, die entweder als Quelle oder Ziel verwendet werden 192.168.207.222 .
Konfiguration
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
Um dieses Beispiel zu konfigurieren, führen Sie die folgenden Aufgaben aus:
- CLI-Schnellkonfiguration
- Konfigurieren der Syslog-Meldungsdatei für die Firewall-Einrichtung
- Konfigurieren des Filters "Zustandslose Firewall"
- Anwenden des Filters "Zustandslose Firewall" auf eine logische Schnittstelle
- Bestätigen und bestätigen Sie Ihre Kandidatenkonfiguration
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Konfigurationsbefehle in eine Textdatei, entfernen Sie alle Zeilenumbrüche, und fügen Sie die Befehle dann auf Hierarchieebene [edit] in die CLI ein.
set system syslog file ICMP_filter firewall info set system syslog file ICMP_filter archive no-world-readable set firewall family inet filter icmp_syslog term icmp_match from address 192.168.207.222/32 set firewall family inet filter icmp_syslog term icmp_match from protocol icmp set firewall family inet filter icmp_syslog term icmp_match then count packets set firewall family inet filter icmp_syslog term icmp_match then syslog set firewall family inet filter icmp_syslog term icmp_match then accept set firewall family inet filter icmp_syslog term default_term then accept set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30 set interfaces ge-0/0/1 unit 0 family inet filter input icmp_syslog
Konfigurieren der Syslog-Meldungsdatei für die Firewall-Einrichtung
Schritt-für-Schritt-Anleitung
So konfigurieren Sie eine Syslog-Meldungsdatei für die firewall Einrichtung:
Konfigurieren Sie eine Meldungsdatei für alle Syslog-Meldungen, die für die firewall Einrichtung generiert werden.
user@host# set system syslog file ICMP_filter firewall info
Beschränken Sie die Berechtigung für die archivierten firewall Syslog-Dateien der Einrichtung auf den Root-Benutzer und Benutzer, die über die Junos OS-Wartungsberechtigung verfügen.
user@host# set system syslog file ICMP_filter archive no-world-readable
Konfigurieren des Filters "Zustandslose Firewall"
Schritt-für-Schritt-Anleitung
So konfigurieren Sie den zustandslosen Firewallfilter icmp_syslog , der ICMP-Pakete protokolliert und zählt, die entweder als Quelle oder Ziel verwendet werden 192.168.207.222 :
Erstellen Sie den zustandslosen Firewallfilter icmp_syslog.
[edit] user@host# edit firewall family inet filter icmp_syslog
Konfigurieren Sie den Abgleich für das ICMP-Protokoll und eine Adresse.
[edit firewall family inet filter icmp_syslog] user@host# set term icmp_match from address 192.168.207.222/32 user@host# set term icmp_match from protocol icmp
Zählen, protokollieren und akzeptieren Sie übereinstimmende Pakete.
[edit firewall family inet filter icmp_syslog] user@host# set term icmp_match then count packets user@host# set term icmp_match then syslog user@host# set term icmp_match then accept
Akzeptieren Sie alle anderen Pakete.
[edit firewall family inet filter icmp_syslog] user@host# set term default_term then accept
Anwenden des Filters "Zustandslose Firewall" auf eine logische Schnittstelle
Schritt-für-Schritt-Anleitung
So wenden Sie den zustandslosen Firewallfilter auf eine logische Schnittstelle an:
Konfigurieren Sie die logische Schnittstelle, auf die Sie den zustandslosen Firewallfilter anwenden möchten.
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
Konfigurieren Sie die Schnittstellenadresse für die logische Schnittstelle.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
Wenden Sie den zustandslosen Firewallfilter auf die logische Schnittstelle an.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input icmp_syslog
Bestätigen und bestätigen Sie Ihre Kandidatenkonfiguration
Schritt-für-Schritt-Anleitung
So bestätigen Sie Ihre Kandidatenkonfiguration und bestätigen sie:
Bestätigen Sie die Konfiguration der Syslog-Meldungsdatei für die firewall Einrichtung, indem Sie den
show systemBefehl configuration mode eingeben. Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.[edit] user@host# show system syslog { file ICMP_filter { firewall info; archive no-world-readable; } }Bestätigen Sie die Konfiguration des zustandslosen Firewallfilters, indem Sie den
show firewallBefehl configuration mode eingeben. Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.[edit] user@host# show firewall family inet { filter icmp_syslog { term icmp_match { from { address { 192.168.207.222/32; } protocol icmp; } then { count packets; log; accept; } } term default_term { then accept; } } }Bestätigen Sie die Konfiguration der Schnittstelle, indem Sie den
show interfacesBefehl Konfigurationsmodus eingeben. Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { filter { input icmp_syslog; } address 10.1.2.3/30; } } }Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie Ihre Kandidatenkonfiguration.
[edit] user@host# commit
Verifizierung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, geben Sie den show log filter folgenden Befehl ein:
user@host> show log ICMP_filter Mar 20 08:03:11 hostname feb FW: ge-0/1/0.0 A icmp 192.168.207.222 192.168.207.223 0 0 (1 packets)
Diese Ausgabedatei enthält die folgenden Felder:
Date and Time– Datum und Uhrzeit, zu der das Paket empfangen wurde (wird in der Standardeinstellung nicht angezeigt).
Filter-Aktion:
A—Annehmen (oder nächster Termin)
D—Verwerfen
R—Ablehnen
Protocol– Name oder Nummer des Protokolls des Pakets.
Source address- Quell-IP-Adresse im Paket.
Destination address– Ziel-IP-Adresse im Paket.
HINWEIS:Wenn es sich bei dem Protokoll um ICMP handelt, werden der ICMP-Typ und der ICMP-Code angezeigt. Für alle anderen Protokolle werden die Quell- und Zielports angezeigt.
Die letzten beiden Felder (beide Null) sind die Quell- bzw. Ziel-TCP/UDP-Ports und werden nur für TCP- oder UDP-Pakete angezeigt. Diese Protokollmeldung weist darauf hin, dass in einem Intervall von etwa einer Sekunde nur ein Paket für diese Übereinstimmung erkannt wurde. Wenn Pakete schneller ankommen, komprimiert die Systemprotokollfunktion die Informationen, sodass weniger Ausgabe generiert wird, und zeigt eine Ausgabe ähnlich der folgenden an:
user@host> show log filename Mar 20 08:18:45 hostname feb FW: ge-0/1/0.0 A icmp 192.168.207.222 192.168.207.223 0 0 (515 packets)