Auf dieser Seite
Beispiel: Verschachteln von Verweisen auf mehrere Firewallfilter
In diesem Beispiel wird gezeigt, wie verschachtelte Verweise auf mehrere Firewallfilter konfiguriert werden.
Anforderungen
Vor der Konfiguration dieses Beispiels ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.
Überblick
In diesem Beispiel konfigurieren Sie einen Firewallfilter für eine Kombination aus Übereinstimmungsbedingung und Aktion, die von mehreren Firewallfiltern gemeinsam genutzt werden kann. Anschließend konfigurieren Sie zwei Firewallfilter, die auf den ersten Firewallfilter verweisen. Wenn später die allgemeinen Filterkriterien geändert werden müssen, ändern Sie nur die Filterkonfiguration einer gemeinsam genutzten Firewall.
Topologie
Der common_filter Firewallfilter verwirft Pakete mit der UDP-Quell- oder Zielportfeldnummer . 69 Die beiden zusätzlichen Firewallfilter filter1 und filter2verweisen auf . common_filter
Konfiguration
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
- CLI-Schnellkonfiguration
- Konfigurieren der verschachtelten Firewallfilter
- Anwenden beider verschachtelter Firewallfilter auf Schnittstellen
- Bestätigen und bestätigen Sie Ihre Kandidatenkonfiguration
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle in eine Textdatei, entfernen Sie alle Zeilenumbrüche, und fügen Sie die Befehle dann auf Hierarchieebene [edit] in die CLI ein.
set firewall family inet filter common_filter term common_term from protocol udp set firewall family inet filter common_filter term common_term from port tftp set firewall family inet filter common_filter term common_term then discard set firewall family inet filter filter1 term term1 filter common_filter set firewall family inet filter filter1 term term2 from address 192.168.0.0/16 set firewall family inet filter filter1 term term2 then reject set firewall family inet filter filter2 term term1 filter common_filter set firewall family inet filter filter2 term term2 from protocol udp set firewall family inet filter filter2 term term2 from port bootps set firewall family inet filter filter2 term term2 then accept set interfaces ge-0/0/0 unit 0 family inet address 10.1.0.1/24 set interfaces ge-0/0/0 unit 0 family inet filter input filter1 set interfaces ge-0/0/3 unit 0 family inet address 10.1.3.1/24 set interfaces ge-0/0/3 unit 0 family inet filter input filter2
Konfigurieren der verschachtelten Firewallfilter
Schritt-für-Schritt-Anleitung
So konfigurieren Sie zwei verschachtelte Firewallfilter, die sich einen gemeinsamen Filter teilen:
Navigieren Sie in der CLI zu der Hierarchieebene, auf der Sie IPv4-Firewallfilter konfigurieren.
[edit] user@host# edit firewall family inet
Konfigurieren Sie den allgemeinen Filter, auf den von mehreren anderen Filtern verwiesen wird.
[edit firewall family inet] user@host# set filter common_filter term common_term from protocol udp user@host# set filter common_filter term common_term from port tftp user@host# set filter common_filter term common_term then discard
Konfigurieren Sie einen Filter, der auf den allgemeinen Filter verweist.
[edit firewall family inet] user@host# set filter filter1 term term1 filter common_filter user@host# set filter filter1 term term2 from address 192.168.0.0/16 user@host# set filter filter1 term term2 then reject
Konfigurieren Sie einen zweiten Filter, der auf den allgemeinen Filter verweist.
[edit firewall family inet] user@host# set filter filter2 term term1 filter common_filter user@host# set filter filter2 term term2 from protocol udp user@host# set filter filter2 term term2 from port bootps user@host# set filter filter2 term term2 then accept
Anwenden beider verschachtelter Firewallfilter auf Schnittstellen
Schritt-für-Schritt-Anleitung
So wenden Sie beide verschachtelten Firewallfilter auf logische Schnittstellen an:
Wenden Sie den ersten verschachtelten Filter auf eine logische Schnittstelleneingabe an.
[edit] user@host# set interfaces ge-0/0/0 unit 0 family inet address 10.1.0.1/24 user@host# set interfaces ge-0/0/0 unit 0 family inet filter input filter1
Wenden Sie den zweiten verschachtelten Filter auf eine logische Schnittstelleneingabe an.
[edit] user@host# set interfaces ge-0/0/3 unit 0 family inet address 10.1.3.1/24 user@host# set interfaces ge-0/0/3 unit 0 family inet filter input filter2
Bestätigen und bestätigen Sie Ihre Kandidatenkonfiguration
Schritt-für-Schritt-Anleitung
So bestätigen Sie Ihre Kandidatenkonfiguration und bestätigen sie:
Bestätigen Sie die Konfiguration des Firewall-Filters, indem Sie den
show firewallBefehl configuration mode eingeben. Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.[edit] user@host# show firewall family inet { filter common_filter { term common_term { from { protocol udp; port tftp; } then { discard; } } } filter filter1 { term term1 { filter common_filter; } term term2 { from { address 192.168/16; } then { reject; } } } filter filter2 { term term1 { filter common_filter; } term term2 { from { protocol udp; port bootps; } then { accept; } } } }Bestätigen Sie die Konfiguration der Schnittstelle, indem Sie den
show interfacesBefehl Konfigurationsmodus eingeben. Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.[edit] user@host# show interfaces ge-0/0/0 { unit 0 { family inet { filter { input filter1; } address 10.1.0.1/24; } } } ge-0/0/3 { unit 0 { family inet { filter { input filter2; } address 10.1.3.1/24; } } }Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie Ihre Kandidatenkonfiguration.
[edit] user@host# commit
Verifizierung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, geben Sie die show firewall filter filter1 Befehle und show firewall filter filter2 Betriebsmodus ein.