Auf dieser Seite
Beispiel: Konfigurieren der Protokollierung für einen Firewallfilterbegriff
In diesem Beispiel wird gezeigt, wie ein Firewallfilter für die Protokollierung von Paketheadern konfiguriert wird.
Anforderungen
Vor der Konfiguration dieses Beispiels ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.
Überblick
In diesem Beispiel verwenden Sie einen Firewallfilter, der ICMP-Pakete protokolliert und zählt, die entweder als Quelle oder Ziel angegeben sind .192.168.207.222
Konfiguration
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter .Verwenden des CLI-Editors im Konfigurationsmodus
Um dieses Beispiel zu konfigurieren, führen Sie die folgenden Aufgaben aus:
- CLI-Schnellkonfiguration
- Konfigurieren der Syslog-Meldungsdatei für die Firewall-Einrichtung
- Konfigurieren des Firewall-Filters
- Anwenden des Firewallfilters auf eine logische Schnittstelle
- Bestätigen und bestätigen Sie Ihre Kandidatenkonfiguration
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Konfigurationsbefehle in eine Textdatei, entfernen Sie alle Zeilenumbrüche, und fügen Sie die Befehle dann auf Hierarchieebene in die CLI ein.[edit]
set system syslog file messages_firewall_any firewall any set system syslog file messages_firewall_any archive no-world-readable set firewall family inet filter icmp_syslog term icmp_match from address 192.168.207.222/32 set firewall family inet filter icmp_syslog term icmp_match from protocol icmp set firewall family inet filter icmp_syslog term icmp_match then count packets set firewall family inet filter icmp_syslog term icmp_match then syslog set firewall family inet filter icmp_syslog term icmp_match then accept set firewall family inet filter icmp_syslog term default_term then accept set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30 set interfaces ge-0/0/1 unit 0 family inet filter input icmp_syslog
Konfigurieren der Syslog-Meldungsdatei für die Firewall-Einrichtung
Schritt-für-Schritt-Anleitung
So konfigurieren Sie eine Syslog-Meldungsdatei für die Einrichtung:firewall
Konfigurieren Sie eine Meldungsdatei für alle Syslog-Meldungen, die für die Einrichtung generiert werden.
firewalluser@host# set system syslog file messages_firewall_any firewall any
Beschränken Sie die Berechtigung für die archivierten Syslog-Dateien der Einrichtung auf den Root-Benutzer und Benutzer, die über die Junos OS-Wartungsberechtigung verfügen.
firewalluser@host# set system syslog file messages_firewall_any archive no-world-readable
Konfigurieren des Firewall-Filters
Schritt-für-Schritt-Anleitung
So konfigurieren Sie den Firewall-Filter , der ICMP-Pakete protokolliert und zählt, die entweder als Quelle oder Ziel angegeben sind :icmp_syslog192.168.207.222
Erstellen Sie den Firewall-Filter .
icmp_syslog[edit] user@host# edit firewall family inet filter icmp_syslog
Konfigurieren Sie den Abgleich für das ICMP-Protokoll und eine Adresse.
[edit firewall family inet filter icmp_syslog] user@host# set term icmp_match from address 192.168.207.222/32 user@host# set term icmp_match from protocol icmp
Zählen, protokollieren und akzeptieren Sie übereinstimmende Pakete.
[edit firewall family inet filter icmp_syslog] user@host# set term icmp_match then count packets user@host# set term icmp_match then syslog user@host# set term icmp_match then accept
Akzeptieren Sie alle anderen Pakete.
[edit firewall family inet filter icmp_syslog] user@host# set term default_term then accept
Anwenden des Firewallfilters auf eine logische Schnittstelle
Schritt-für-Schritt-Anleitung
So wenden Sie den Firewall-Filter auf eine logische Schnittstelle an:
Konfigurieren Sie die logische Schnittstelle, auf die Sie den Firewallfilter anwenden möchten.
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
Konfigurieren Sie die Schnittstellenadresse für die logische Schnittstelle.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
Wenden Sie den Firewallfilter auf die logische Schnittstelle an.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input icmp_syslog
Bestätigen und bestätigen Sie Ihre Kandidatenkonfiguration
Schritt-für-Schritt-Anleitung
So bestätigen Sie Ihre Kandidatenkonfiguration und bestätigen sie:
Bestätigen Sie die Konfiguration der Syslog-Meldungsdatei für die Einrichtung, indem Sie den Befehl configuration mode eingeben.
firewallshow systemWenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.[edit] user@host# show system syslog { file messages_firewall_any { firewall any; archive no-world-readable; } }Bestätigen Sie die Konfiguration des Firewall-Filters, indem Sie den Befehl configuration mode eingeben.
show firewallWenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.[edit] user@host# show firewall family inet { filter icmp_syslog { term icmp_match { from { address { 192.168.207.222/32; } protocol icmp; } then { count packets; syslog; accept; } } term default_term { then accept; } } }Bestätigen Sie die Konfiguration der Schnittstelle, indem Sie den Befehl Konfigurationsmodus eingeben.
show interfacesWenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { filter { input icmp_syslog; } address 10.1.2.3/30; } } }Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie Ihre Kandidatenkonfiguration.
[edit] user@host# commit
Überprüfung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, geben Sie den folgenden Befehl ein:show log filter
user@host> show log messages_firewall_any Mar 20 08:03:11 hostname feb FW: so-0/1/0.0 A icmp 192.168.207.222 192.168.207.223 0 0 (1 packets)
Diese Ausgabedatei enthält die folgenden Felder:
Date and Time– Datum und Uhrzeit, zu der das Paket empfangen wurde (wird in der Standardeinstellung nicht angezeigt).Filter-Aktion:
A—Annehmen (oder nächster Termin)D—VerwerfenR—Ablehnen
Protocol– Name oder Nummer des Protokolls des Pakets.Source address- Quell-IP-Adresse im Paket.Destination address– Ziel-IP-Adresse im Paket.HINWEIS:Wenn es sich bei dem Protokoll um ICMP handelt, werden der ICMP-Typ und der ICMP-Code angezeigt. Für alle anderen Protokolle werden die Quell- und Zielports angezeigt.
Die letzten beiden Felder (beide Null) sind die Quell- bzw. Ziel-TCP/UDP-Ports und werden nur für TCP- oder UDP-Pakete angezeigt. Diese Protokollmeldung gibt an, dass in einem Intervall von etwa 1 Sekunde nur ein Paket für diese Übereinstimmung erkannt wurde. Wenn Pakete schneller ankommen, komprimiert die Systemprotokollfunktion die Informationen, sodass weniger Ausgabe generiert wird, und zeigt eine Ausgabe ähnlich der folgenden an:
user@host> show log messages_firewall_any Mar 20 08:08:45 hostname feb FW: so-0/1/0.0 A icmp 192.168.207.222 192.168.207.223 0 0 (515 packets)