Auf dieser Seite
Beispiel: Konfigurieren eines Filters zum Akzeptieren von DHCP-Paketen basierend auf der Adresse
In diesem Beispiel wird gezeigt, wie ein standardmäßiger zustandsloser Firewallfilter so konfiguriert wird, dass Pakete von einer vertrauenswürdigen Quelle akzeptiert werden.
Anforderungen
Dieses Beispiel wird nur auf Routern der MX-Serie und Switches der EX-Serie unterstützt.
Überblick
In diesem Beispiel erstellen Sie einen Filter (rpf_dhcp), der DHCP-Pakete mit der Quelladresse von und der Zieladresse von 0.0.0.0255.255.255.255akzeptiert.
Konfiguration
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
- CLI-Schnellkonfiguration
- Konfigurieren des Filters "Zustandslose Firewall"
- Anwenden des Firewall-Filters auf die Loopback-Schnittstelle
- Bestätigen und bestätigen Sie Ihre Kandidatenkonfiguration
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Konfigurationsbefehle in eine Textdatei, entfernen Sie alle Zeilenumbrüche, und fügen Sie die Befehle dann auf Hierarchieebene [edit] in die CLI ein.
set firewall family inet filter rpf_dhcp term dhcp_term from source-address 0.0.0.0/32 set firewall family inet filter rpf_dhcp term dhcp_term from destination-address 255.255.255.255/32 set firewall family inet filter rpf_dhcp term dhcp_term then accept set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30 set interfaces ge-0/0/1 unit 0 family inet filter input sam
Konfigurieren des Filters "Zustandslose Firewall"
Schritt-für-Schritt-Anleitung
So konfigurieren Sie den zustandslosen Firewallfilter:
Erstellen Sie den zustandslosen Firewallfilter
rpf_dhcp.[edit] user@host# edit firewall family inet filter rpf_dhcp
Konfigurieren Sie den Begriff so, dass Pakete mit einer Quelladresse von und einer Zieladresse von übereinstimmt.
0.0.0.0255.255.255.255[edit firewall family inet filter rpf_dhcp] user@host# set term dhcp_term from source-address 0.0.0.0/32 user@host# set term dhcp_term from destination-address 255.255.255.255/32
Konfigurieren Sie den Begriff so, dass Pakete akzeptiert werden, die den angegebenen Bedingungen entsprechen.
[edit firewall family inet filter rpf_dhcp] set term dhcp_term then accept
Anwenden des Firewall-Filters auf die Loopback-Schnittstelle
Schritt-für-Schritt-Anleitung
So wenden Sie den Filter auf den Eingang an der Loopback-Schnittstelle an:
Wenden Sie den
rpf_dhcpFilter an, wenn Pakete nicht auf dem erwarteten Pfad ankommen.[edit] user@host# set interfaces lo0 unit 0 family inet rpf-check fail-filter rpf_dhcp
Konfigurieren Sie eine Adresse für die Loopback-Schnittstelle.
[edit] user@host# set interfaces lo0 unit 0 family inet address 127.0.0.1/32
Bestätigen und bestätigen Sie Ihre Kandidatenkonfiguration
Schritt-für-Schritt-Anleitung
So bestätigen Sie Ihre Kandidatenkonfiguration und bestätigen sie:
Bestätigen Sie die Konfiguration des zustandslosen Firewallfilters, indem Sie den
show firewallBefehl configuration mode eingeben. Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.[edit] user@host# show firewall family inet { filter rpf_dhcp { term dhcp_term { from { source-address { 0.0.0.0/32; } destination-address { 255.255.255.255/32; } } then accept; } } }Bestätigen Sie die Konfiguration der Schnittstelle, indem Sie den
show interfacesBefehl Konfigurationsmodus eingeben. Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.[edit] user@host# show interfaces lo0 { unit 0 { family inet { filter { rpf-check { fail-filter rpf_dhcp; mode loose; } } address 127.0.0.1/32; } } }Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie Ihre Kandidatenkonfiguration.
[edit] user@host# commit
Verifizierung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, geben Sie den show firewall Befehl Betriebsmodus ein.