Auf dieser Seite
Beispiel: Konfigurieren eines Filters zum Blockieren des TFTP-Zugriffs
Anforderungen
Vor der Konfiguration dieses Beispiels ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.
Überblick
Um die Anfälligkeit für Denial-of-Service-Angriffe (DoS) zu verringern, filtert und verwirft das Junos-Betriebssystem standardmäßig DHCP- (Dynamic Host Configuration Protocol) oder BOOTP-Pakete (Bootstrap Protocol) mit der Quelladresse 0.0.0.0 und der Zieladresse 255.255.255.255. Dieser Standardfilter wird als Unicast-RPF-Prüfung bezeichnet. Die Geräte einiger Anbieter akzeptieren diese Pakete jedoch automatisch.
Topologie
Für die Interoperabilität mit Geräten anderer Anbieter können Sie einen Filter konfigurieren, der nach diesen beiden Adressen sucht und den standardmäßigen RPF-Check-Filter überschreibt, indem Sie diese Pakete akzeptieren. In diesem Beispiel blockieren Sie den TFTP-Zugriff (Trivial File Transfer Protocol) und protokollieren alle Versuche, TFTP-Verbindungen herzustellen.
Konfiguration
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
Um dieses Beispiel zu konfigurieren, führen Sie die folgenden Aufgaben aus:
- CLI-Schnellkonfiguration
- Konfigurieren des Filters "Zustandslose Firewall"
- Anwenden des Firewall-Filters auf die Loopback-Schnittstelle
- Bestätigen und bestätigen Sie Ihre Kandidatenkonfiguration
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Konfigurationsbefehle in eine Textdatei, entfernen Sie alle Zeilenumbrüche, und fügen Sie die Befehle dann auf Hierarchieebene in die CLI ein.[edit]
set firewall family inet filter tftp_access_control term one from protocol udp set firewall family inet filter tftp_access_control term one from port tftp set firewall family inet filter tftp_access_control term one then log set firewall family inet filter tftp_access_control term one then discard set interfaces lo0 unit 0 family inet filter input tftp_access_control set interfaces lo0 unit 0 family inet address 127.0.0.1/32
Konfigurieren des Filters "Zustandslose Firewall"
Schritt-für-Schritt-Anleitung
So konfigurieren Sie den zustandslosen Firewallfilter, der den TFTP-Zugriff selektiv blockiert:
Erstellen Sie den zustandslosen Firewallfilter .
tftp_access_control
[edit] user@host# edit firewall family inet filter tftp_access_control
Geben Sie eine Übereinstimmung für Pakete an, die auf UDP-Port 69 empfangen wurden.
[edit firewall family inet filter tftp_access_control] user@host# set term one from protocol udp user@host# set term one from port tftp
Geben Sie an, dass übereinstimmende Pakete im Puffer der Paketweiterleitungs-Engine protokolliert und dann verworfen werden.
[edit firewall family inet filter tftp_access_control] user@host# set term one then log user@host# set term one then discard
Anwenden des Firewall-Filters auf die Loopback-Schnittstelle
Schritt-für-Schritt-Anleitung
So wenden Sie den Firewall-Filter auf die Loopback-Schnittstelle an:
[edit] user@host# set interfaces lo0 unit 0 family inet filter input tftp_access_control user@host# set interfaces lo0 unit 0 family inet address 127.0.0.1/32
Bestätigen und bestätigen Sie Ihre Kandidatenkonfiguration
Schritt-für-Schritt-Anleitung
So bestätigen Sie Ihre Kandidatenkonfiguration und bestätigen sie:
Bestätigen Sie die Konfiguration des zustandslosen Firewallfilters, indem Sie den Befehl configuration mode eingeben.
show firewall
Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.[edit] user@host# show firewall family inet { filter tftp_access_control { term one { from { protocol udp; port tftp; } then { log; discard; } } } }
Bestätigen Sie die Konfiguration der Schnittstelle, indem Sie den Befehl Konfigurationsmodus eingeben.
show interfaces
Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.[edit] user@host# show interfaces lo0 { unit 0 { family inet { filter { input tftp_access_control; } address 127.0.0.1/32; } } }
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie Ihre Kandidatenkonfiguration.
[edit] user@host# commit
Überprüfung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert:
Verifizieren von protokollierten und verworfenen Paketen
Zweck
Vergewissern Sie sich, dass die Aktionen der Firewallfilterbegriffe ausgeführt werden.
Was
Empfänger
Löschen Sie das Firewall-Protokoll auf Ihrem Router oder Switch.
user@myhost> clear firewall log
Senden Sie von einem anderen Host ein Paket an den UDP-Port dieses Routers oder Switches.
69