Auf dieser Seite
Beispiel: Konfigurieren eines Filters zur Annahme von Paketen basierend auf IPv6 TCP-Flags
Dieses Beispiel zeigt, wie Sie einen standardzustandslosen Firewall-Filter konfigurieren, um Pakete von einer vertrauenswürdigen Quelle zu akzeptieren.
Anforderungen
Vor der Konfiguration dieses Beispiels ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.
Überblick
In diesem Beispiel erstellen Sie einen Filter, der Pakete mit bestimmten IPv6-TCP-Flags akzeptiert.
Konfiguration
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
- CLI-Schnellkonfiguration
- Konfigurieren des zustandslosen Firewall-Filters
- Anwenden des Firewall-Filters auf die Loopback-Schnittstelle
- Kandidatenkonfiguration bestätigen und bestätigen
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle in eine Textdatei, entfernen Alle Zeilenumbrüche und fügen die Befehle dann auf Hierarchieebene in die [edit] CLI ein.
set firewall family inet6 filter tcp_filter term 1 from next-header tcp set firewall family inet6 filter tcp_filter term 1 from tcp-flags syn set firewall family inet6 filter tcp_filter term 1 then count tcp_syn_pkt set firewall family inet6 filter tcp_filter term 1 then log set firewall family inet6 filter tcp_filter term 1 then accept set interfaces lo0 unit 0 family inet6 filter input tcp_filter set interfaces lo0 unit 0 family inet6 address ::10.34.1.0/120
Konfigurieren des zustandslosen Firewall-Filters
Schritt-für-Schritt-Verfahren
So konfigurieren Sie den Firewall-Filter
Erstellen Sie den IPv6-Firewall-Filter tcp_filterohne Zustand.
[edit] user@host# edit firewall family inet6 filter tcp_filter
Geben Sie an, dass ein Paket übereinstimmt, wenn es das ursprüngliche Paket in einer TCP-Sitzung ist, und der nächste Header nach dem IPv6-Header den Typ TCP ist.
[edit firewall family inet6 filter tcp_filter] user@host# set term 1 from next-header tcp user@host# set term 1 from tcp-flags syn
Geben Sie an, dass die übereinstimmenden Pakete gezählt, im Puffer auf der Packet Forwarding Engine protokolliert und akzeptiert werden.
[edit firewall family inet6 filter tcp_filter] user@host# set term 1 then count tcp_syn_pkt user@host# set term 1 then log user@host# set term 1 then accept
Anwenden des Firewall-Filters auf die Loopback-Schnittstelle
Schritt-für-Schritt-Verfahren
So wenden Sie den Firewall-Filter auf die Loopback-Schnittstelle an:
[edit] user@host# set interfaces lo0 unit 0 family inet6 filter input tcp_filter user@host# set interfaces lo0 unit 0 family inet6 address ::10.34.1.0/120
Kandidatenkonfiguration bestätigen und bestätigen
Schritt-für-Schritt-Verfahren
So bestätigen Und bestätigen Sie die Konfiguration Ihrer Kandidaten:
Bestätigen Sie die Konfiguration des zustandslosen Firewall-Filters, indem Sie den
show firewallKonfigurationsmodus-Befehl eingeben. Wenn die Befehlsausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.[edit] user@host# show firewall family inet6 { filter tcp_filter { term 1 { from { next-header tcp; tcp-flags syn; } then { count tcp_syn_pkt; log; accept; } } } }Bestätigen Sie die Konfiguration der Schnittstelle, indem Sie den
show interfacesKonfigurationsmodus-Befehl eingeben. Wenn die Befehlsausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.[edit] user@host# show interfaces lo0 { unit 0 { family inet6 { filter { input tcp_filter; } address ::10.34.1.0/120; } } }Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Kandidatenkonfiguration.
[edit] user@host# commit
Überprüfung
Geben Sie den Betriebsmodus-Befehl ein, um zu bestätigen, dass die show firewall Konfiguration ordnungsgemäß funktioniert.