Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

Beispiel: Konfigurieren eines Filters zum Blockieren des TFTP-Zugriffs

Anforderungen

Vor der Konfiguration dieses Beispiels ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.

Überblick

Um die Anfälligkeit für Denial-of-Service-Angriffe (DoS) zu verringern, filtert und verwirft das Junos-Betriebssystem standardmäßig DHCP- (Dynamic Host Configuration Protocol) oder BOOTP-Pakete (Bootstrap Protocol) mit der Quelladresse 0.0.0.0 und der Zieladresse 255.255.255.255. Dieser Standardfilter wird als Unicast-RPF-Prüfung bezeichnet. Die Geräte einiger Anbieter akzeptieren diese Pakete jedoch automatisch.

Topologie

Für die Interoperabilität mit Geräten anderer Anbieter können Sie einen Filter konfigurieren, der nach diesen beiden Adressen sucht und den standardmäßigen RPF-Check-Filter überschreibt, indem Sie diese Pakete akzeptieren. In diesem Beispiel blockieren Sie den TFTP-Zugriff (Trivial File Transfer Protocol) und protokollieren alle Versuche, TFTP-Verbindungen herzustellen.

Konfiguration

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

Um dieses Beispiel zu konfigurieren, führen Sie die folgenden Aufgaben aus:

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Konfigurationsbefehle in eine Textdatei, entfernen Sie alle Zeilenumbrüche, und fügen Sie die Befehle dann auf Hierarchieebene in die CLI ein.[edit]

Konfigurieren des Filters "Zustandslose Firewall"

Schritt-für-Schritt-Anleitung

So konfigurieren Sie den zustandslosen Firewallfilter, der den TFTP-Zugriff selektiv blockiert:

  1. Erstellen Sie den zustandslosen Firewallfilter .tftp_access_control

  2. Geben Sie eine Übereinstimmung für Pakete an, die auf UDP-Port 69 empfangen wurden.

  3. Geben Sie an, dass übereinstimmende Pakete im Puffer der Paketweiterleitungs-Engine protokolliert und dann verworfen werden.

Anwenden des Firewall-Filters auf die Loopback-Schnittstelle

Schritt-für-Schritt-Anleitung

So wenden Sie den Firewall-Filter auf die Loopback-Schnittstelle an:

Bestätigen und bestätigen Sie Ihre Kandidatenkonfiguration

Schritt-für-Schritt-Anleitung

So bestätigen Sie Ihre Kandidatenkonfiguration und bestätigen sie:

  1. Bestätigen Sie die Konfiguration des zustandslosen Firewallfilters, indem Sie den Befehl configuration mode eingeben.show firewall Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

  2. Bestätigen Sie die Konfiguration der Schnittstelle, indem Sie den Befehl Konfigurationsmodus eingeben.show interfaces Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

  3. Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie Ihre Kandidatenkonfiguration.

Überprüfung

Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert:

Verifizieren von protokollierten und verworfenen Paketen

Zweck

Vergewissern Sie sich, dass die Aktionen der Firewallfilterbegriffe ausgeführt werden.

Was

Empfänger

  1. Löschen Sie das Firewall-Protokoll auf Ihrem Router oder Switch.

  2. Senden Sie von einem anderen Host ein Paket an den UDP-Port dieses Routers oder Switches.69

Verwandte Themen