Auf dieser Seite
Beispiel: Konfigurieren eines Filters zur Anzahl akzeptierter und abgelehnter Pakete
Dieses Beispiel zeigt, wie Sie einen Firewall-Filter so konfigurieren, dass Pakete gezählt werden.
Anforderungen
Vor der Konfiguration dieses Beispiels ist keine spezielle Konfiguration über die Geräte initialisierung hinaus erforderlich.
Überblick
In diesem Beispiel verwenden Sie einen zustandslosen Firewall-Filter, um alle Adressen außer 192.168.5.0/24 abzulehnen.
Topologie
Im ersten Begriff bewirkt die Übereinstimmungsbedingung address 192.168.5.0/24 except
, dass diese Adresse als Eine Mismatch betrachtet wird, und diese Adresse wird an den nächsten Begriff im Filter übergeben. Die Übereinstimmungsbedingung address 0.0.0.0/0
entspricht allen anderen Paketen, und diese werden gezählt, protokolliert und abgelehnt.
Im zweiten Begriff werden alle Pakete, die über den ersten Begriff übertragen wurden (d. h. Pakete, deren Adresse übereinstimmt 192.168.5.0/24
), gezählt, protokolliert und akzeptiert.
Konfiguration
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter Cli-Editor im Konfigurationsmodus verwenden.
Um dieses Beispiel zu konfigurieren, führen Sie die folgenden Aufgaben aus:
- CLI-Schnellkonfiguration
- Konfigurieren Sie den Stateless Firewall-Filter
- Anwenden des Stateless Firewall-Filters auf eine logische Schnittstelle
- Bestätigen und Bestätigen der Kandidatenkonfiguration
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Konfigurationsbefehle in eine Textdatei, entfernen Sie alle Zeilenumbrüche und fügen Sie die Befehle dann auf Hierarchieebene in die [edit]
CLI ein.
set firewall family inet filter fire1 term 1 from address 192.168.5.0/24 except set firewall family inet filter fire1 term 1 from address 0.0.0.0/0 set firewall family inet filter fire1 term 1 then count reject_pref1_1 set firewall family inet filter fire1 term 1 then log set firewall family inet filter fire1 term 1 then reject set firewall family inet filter fire1 term 2 then count reject_pref1_2 set firewall family inet filter fire1 term 2 then log set firewall family inet filter fire1 term 2 then accept set interfaces ge-0/0/1 unit 0 family inet filter input fire1 set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30
Konfigurieren Sie den Stateless Firewall-Filter
Schritt-für-Schritt-Verfahren
So konfigurieren Sie den zustandslosen Firewall-Filter fire1
:
Erstellen Sie den zustandslosen Firewall-Filter
fire1
.[edit] user@host# edit firewall family inet filter fire1
Konfigurieren Sie den ersten Begriff, um alle Adressen außer denen vom
192.168.5.0/24
oder zum Präfix abzulehnen und dann alle anderen Pakete zu zählen, protokollieren und abzulehnen.[edit firewall family inet filter fire1] user@host# set term 1 from address 192.168.5.0/24 except user@host# set term 1 from address 0.0.0.0/0 user@host# set term 1 then count reject_pref1_1 user@host# set term 1 then log user@host# set term 1 then reject
Konfigurieren Sie den nächsten Begriff, um Pakete im
192.168.5.0/24
Präfix zu zählen, zu protokollieren und zu akzeptieren.[edit firewall family inet filter fire1] user@host# set term 2 then count reject_pref1_2 user@host# set term 2 then log user@host# set term 2 then accept
Anwenden des Stateless Firewall-Filters auf eine logische Schnittstelle
Schritt-für-Schritt-Verfahren
So wenden Sie den statuslosen Firewall-Filter auf eine logische Schnittstelle an:
Konfigurieren Sie die logische Schnittstelle, auf die Sie den statuslosen Firewall-Filter anwenden.
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
Konfigurieren Sie die Schnittstellenadresse für die logische Schnittstelle.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
Wenden Sie den statuslosen Firewall-Filter auf die logische Schnittstelle an.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input fire1
Bestätigen und Bestätigen der Kandidatenkonfiguration
Schritt-für-Schritt-Verfahren
Um ihre Kandidatenkonfiguration zu bestätigen und dann zu bestätigen:
Bestätigen Sie die Konfiguration des statuslosen Firewallfilters, indem Sie den
show firewall
Konfigurationsmodusbefehl eingeben. Wenn die Befehlsausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.[edit] user@host# show firewall family inet { filter fire1 { term 1 { from { address { 192.168.5.0/24 except; 0.0.0.0/0; } } then { count reject_pref1_1; log; reject; } } term 2 { then { count reject_pref1_2; log; accept; } } } }
Bestätigen Sie die Konfiguration der Schnittstelle, indem Sie den
show interfaces
Konfigurationsmodusbefehl eingeben. Wenn die Befehlsausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { filter { input fire1; } address 10.1.2.3/30; } } }
Wenn Sie die Konfiguration des Geräts durchgeführt haben, bestätigen Sie die Konfiguration Ihres Kandidaten.
[edit] user@host# commit
Überprüfung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, geben Sie den Befehl für den show firewall filter fire1
Betriebsmodus ein. Sie können auch das Protokoll und die einzelnen Zähler separat anzeigen, indem Sie die folgenden Formen des Befehls verwenden:
show firewall counter reject_pref1_1
show firewall counter reject_pref1_2