Auf dieser Seite
Beispiel: Konfigurieren eines Filters zum Akzeptieren von OSPF-Paketen von einem Präfix
In diesem Beispiel wird gezeigt, wie ein standardmäßiger zustandsloser Firewallfilter so konfiguriert wird, dass Pakete von einer vertrauenswürdigen Quelle akzeptiert werden.
Anforderungen
Vor der Konfiguration dieses Beispiels ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.
Überblick
In diesem Beispiel erstellen Sie einen Filter, der nur OSPF-Pakete von einer Adresse mit dem Präfix 10.108.0.0/16 akzeptiert und alle anderen Pakete mit einer ICMP-Nachricht verwirftadministratively-prohibited
Konfiguration
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter .Verwenden des CLI-Editors im Konfigurationsmodus
Um dieses Beispiel zu konfigurieren, führen Sie die folgenden Aufgaben aus:
- CLI-Schnellkonfiguration
- Konfigurieren des Filters "Zustandslose Firewall"
- Anwenden des Firewall-Filters auf die Loopback-Schnittstelle
- Bestätigen und bestätigen Sie Ihre Kandidatenkonfiguration
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Konfigurationsbefehle in eine Textdatei, entfernen Sie alle Zeilenumbrüche, und fügen Sie die Befehle dann auf Hierarchieebene in die CLI ein.[edit]
set firewall family inet filter ospf_filter term term1 from source-address 10.108.0.0/16 set firewall family inet filter ospf_filter term term1 from protocol ospf set firewall family inet filter ospf_filter term term1 then accept set firewall family inet filter ospf_filter term default-term then reject administratively-prohibited set interfaces lo0 unit 0 family inet address 10.1.2.3/30 set interfaces lo0 unit 0 family inet filter input ospf_filter
Konfigurieren des Filters "Zustandslose Firewall"
Schritt-für-Schritt-Anleitung
So konfigurieren Sie den zustandslosen Firewall-Filter :ospf_filter
Erstellen Sie den Filter.
[edit] user@host# edit firewall family inet filter ospf_filter
Konfigurieren Sie den Begriff, der Pakete akzeptiert.
[edit firewall family inet filter ospf_filter] user@host# set term term1 from source-address 10.108.0.0/16 user@host# set term term1 from protocol ospf user@host# set term term1 then accept
Konfigurieren Sie den Begriff, der alle anderen Pakete ablehnt.
[edit firewall family inet filter ospf_filter] user@host# set term default_term then reject administratively-prohibited
Anwenden des Firewall-Filters auf die Loopback-Schnittstelle
Schritt-für-Schritt-Anleitung
So wenden Sie den Firewall-Filter auf die Loopback-Schnittstelle an:
Konfigurieren Sie die Schnittstelle.
[edit] user@host# edit interfaces lo0 unit 0 family inet
Konfigurieren Sie die IP-Adresse der logischen Schnittstelle.
[edit interfaces lo0 unit 0 family inet] user@host# set address 10.1.2.3/30
Wenden Sie den Filter auf die Eingabe an.
[edit interfaces lo0 unit 0 family inet] user@host# set filter input ospf_filter
Bestätigen und bestätigen Sie Ihre Kandidatenkonfiguration
Schritt-für-Schritt-Anleitung
So bestätigen Sie Ihre Kandidatenkonfiguration und bestätigen sie:
Bestätigen Sie die Konfiguration des zustandslosen Firewallfilters, indem Sie den Befehl configuration mode eingeben.
show firewall
Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.[edit] user@host# show firewall family inet { filter ospf_filter { term term1 { from { source-address { 10.108.0.0/16; } protocol ospf; } then { accept; } } term default_term { then { reject administratively-prohibited; # default reject action } } } }
Bestätigen Sie die Konfiguration der Schnittstelle, indem Sie den Befehl Konfigurationsmodus eingeben.
show interfaces
Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.[edit] user@host# show interfaces lo0 { unit 0 { family inet { filter { input ospf_filter; } address 10.1.2.3/30; } } }
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie Ihre Kandidatenkonfiguration.
[edit] user@host# commit
Überprüfung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, geben Sie den Befehl Betriebsmodus ein.show firewall filter ospf_filter