Auf dieser Seite
Beispiel: Konfigurieren eines Filters zum Akzeptieren von Paketen basierend auf IPv6-TCP-Flags
In diesem Beispiel wird gezeigt, wie ein standardmäßiger zustandsloser Firewallfilter so konfiguriert wird, dass Pakete von einer vertrauenswürdigen Quelle akzeptiert werden.
Anforderungen
Vor der Konfiguration dieses Beispiels ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.
Überblick
In diesem Beispiel erstellen Sie einen Filter, der Pakete mit bestimmten IPv6-TCP-Flags akzeptiert.
Konfiguration
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
- CLI-Schnellkonfiguration
- Konfigurieren des Filters "Zustandslose Firewall"
- Anwenden des Firewall-Filters auf die Loopback-Schnittstelle
- Bestätigen und bestätigen Sie Ihre Kandidatenkonfiguration
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle in eine Textdatei, entfernen Sie alle Zeilenumbrüche, und fügen Sie die Befehle dann auf Hierarchieebene in die CLI ein.[edit]
set firewall family inet6 filter tcp_filter term 1 from next-header tcp set firewall family inet6 filter tcp_filter term 1 from tcp-flags syn set firewall family inet6 filter tcp_filter term 1 then count tcp_syn_pkt set firewall family inet6 filter tcp_filter term 1 then log set firewall family inet6 filter tcp_filter term 1 then accept set interfaces lo0 unit 0 family inet6 filter input tcp_filter set interfaces lo0 unit 0 family inet6 address ::10.34.1.0/120
Konfigurieren des Filters "Zustandslose Firewall"
Schritt-für-Schritt-Anleitung
So konfigurieren Sie den Firewallfilter
Erstellen Sie den Filter für die zustandslose IPv6-Firewall .tcp_filter
[edit] user@host# edit firewall family inet6 filter tcp_filter
Geben Sie an, dass ein Paket übereinstimmt, wenn es sich um das erste Paket in einer TCP-Sitzung handelt und der nächste Header nach dem IPv6-Header vom Typ TCP ist.
[edit firewall family inet6 filter tcp_filter] user@host# set term 1 from next-header tcp user@host# set term 1 from tcp-flags syn
Geben Sie an, dass übereinstimmende Pakete gezählt, im Puffer der Paketweiterleitungs-Engine protokolliert und akzeptiert werden.
[edit firewall family inet6 filter tcp_filter] user@host# set term 1 then count tcp_syn_pkt user@host# set term 1 then log user@host# set term 1 then accept
Anwenden des Firewall-Filters auf die Loopback-Schnittstelle
Schritt-für-Schritt-Anleitung
So wenden Sie den Firewall-Filter auf die Loopback-Schnittstelle an:
[edit] user@host# set interfaces lo0 unit 0 family inet6 filter input tcp_filter user@host# set interfaces lo0 unit 0 family inet6 address ::10.34.1.0/120
Bestätigen und bestätigen Sie Ihre Kandidatenkonfiguration
Schritt-für-Schritt-Anleitung
So bestätigen Sie Ihre Kandidatenkonfiguration und bestätigen sie:
Bestätigen Sie die Konfiguration des zustandslosen Firewallfilters, indem Sie den Befehl configuration mode eingeben.
show firewall
Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.[edit] user@host# show firewall family inet6 { filter tcp_filter { term 1 { from { next-header tcp; tcp-flags syn; } then { count tcp_syn_pkt; log; accept; } } } }
Bestätigen Sie die Konfiguration der Schnittstelle, indem Sie den Befehl Konfigurationsmodus eingeben.
show interfaces
Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.[edit] user@host# show interfaces lo0 { unit 0 { family inet6 { filter { input tcp_filter; } address ::10.34.1.0/120; } } }
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie Ihre Kandidatenkonfiguration.
[edit] user@host# commit
Überprüfung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, geben Sie den Befehl Betriebsmodus ein.show firewall