Auf dieser Seite
Beispiel: Konfigurieren eines zustandslosen Firewallfilters für die Verarbeitung von Fragmenten
In diesem Beispiel wird gezeigt, wie ein zustandsloser Firewallfilter erstellt wird, der Paketfragmente verarbeitet.
Anforderungen
Über die Geräteinitialisierung hinaus ist keine spezielle Konfiguration erforderlich, bevor zustandslose Firewallfilter konfiguriert werden.
Überblick
In diesem Beispiel erstellen Sie einen zustandslosen Firewallfilter mit dem Namen fragment-RE , der fragmentierte Pakete akzeptiert, die von 10.2.1.0/24 stammen und für den BGP-Port bestimmt sind. Dieses Beispiel enthält die folgenden Firewallfilterbegriffe:
not-from-prefix-term-–Verwirft Pakete, die nicht von 10.2.1.0/24 stammen, um sicherzustellen, dass nachfolgende Begriffe im Firewall-Filter nur mit Paketen von 10.2.1.0/24 abgeglichen werden.small-offset-term– Verwirft kleine (1–5) Offset-Pakete, um sicherzustellen, dass nachfolgende Begriffe im Firewall-Filter mit allen Headern im Paket abgeglichen werden können. Darüber hinaus fügt der Begriff den Systemprotokollierungszielen für die Firewall-Einrichtung einen Datensatz hinzu.not-fragmented-term- Akzeptiert unfragmentierte TCP-Pakete mit einem Zielport, der das BGP-Protokoll angibt. Ein Paket gilt als unfragmentiert, wenn das MF-Flag nicht festgelegt ist und der Fragmentoffset gleich 0 ist.first-fragment-term- Akzeptiert das erste Fragment eines fragmentierten TCP-Pakets mit einem Zielport, der das BGP-Protokoll angibt.fragment-term– Akzeptiert alle Fragmente, die nicht von verworfen wurdensmall-offset-term. (Paketfragmente 6–8191). Allerdings werden nur die Fragmente, die Teil eines Pakets sind, das ein erstes von akzeptiertesfirst-fragment-termFragment enthält, vom Zielgerät wieder zusammengesetzt.
Der Offset der Paketfragmente kann zwischen 1 und 8191 liegen.
Sie können Begriffe innerhalb des Firewall-Filters verschieben, indem Sie den insert Befehl verwenden. Weitere Informationen finden Sie unter "Einfügen" im Junos OS CLI-Benutzerhandbuch.
Topologie
Konfiguration
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, und kopieren Sie dann die Befehle und fügen Sie sie in die CLI auf Hierarchieebene [edit] ein.
set firewall family inet filter fragment-RE term not-from-prefix-term from source-address 0.0.0.0/0 set firewall family inet filter fragment-RE term not-from-prefix-term from source-address 10.2.1.0/24 except set firewall family inet filter fragment-RE term not-from-prefix-term then discard set firewall family inet filter fragment-RE term small-offset-term from fragment-offset 1-5 set firewall family inet filter fragment-RE term small-offset-term then syslog set firewall family inet filter fragment-RE term small-offset-term then discard set firewall family inet filter fragment-RE term not-fragmented-term from fragment-offset 0 set firewall family inet filter fragment-RE term not-fragmented-term from fragment-flags "!more-fragments" set firewall family inet filter fragment-RE term not-fragmented-term from protocol tcp set firewall family inet filter fragment-RE term not-fragmented-term from destination-port bgp set firewall family inet filter fragment-RE term not-fragmented-term then accept set firewall family inet filter fragment-RE term first-fragment-term from first-fragment set firewall family inet filter fragment-RE term first-fragment-term from protocol tcp set firewall family inet filter fragment-RE term first-fragment-term from destination-port bgp set firewall family inet filter fragment-RE term first-fragment-term then accept set firewall family inet filter fragment-RE term fragment-term from fragment-offset 6-8191 set firewall family inet filter fragment-RE term fragment-term then accept
Verfahren
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.
So konfigurieren Sie den zustandslosen Firewallfilter:
Definieren Sie den zustandslosen Firewallfilter.
[edit] user@host# edit firewall family inet filter fragment-RE
Konfigurieren Sie den ersten Term für den Filter.
[edit firewall family inet filter fragment-RE ] user@host# set term not-from-prefix-term from source-address 0.0.0.0/0 user@host# set term not-from-prefix-term from source-address 10.2.1.0/24 except user@host# set term not-from-prefix-term then discard
Definieren Sie den zweiten Begriff für den Filter.
[edit firewall family inet filter fragment-RE] user@host# edit term small-offset-term
Definieren Sie die Übereinstimmungsbedingungen für den Term.
[edit firewall family inet filter fragment-RE term small-offset-term] user@host# set from fragment-offset 1-5
Definieren Sie die Aktion für den Begriff.
[edit firewall family inet filter fragment-RE term small-offset-term] user@host# set then syslog discard
Definieren Sie den dritten Term für den Filter.
[edit] user@host# edit firewall family inet filter fragment-RE term not-fragmented-term
Definieren Sie die Übereinstimmungsbedingungen für den Term.
[edit firewall family inet filter fragment-RE term not-fragmented-term] user@host# set from fragment-flags "!more-fragments" fragment-offset 0 protocol tcp destination-port bgp
Definieren Sie die Aktion für den Begriff.
[edit firewall family inet filter fragment-RE term not-fragmented-term] user@host# set then accept
Definieren Sie den vierten Term für den Filter.
[edit] user@host# edit firewall family inet filter fragment-RE term first-fragment-term
Definieren Sie die Übereinstimmungsbedingungen für den Term.
[edit firewall family inet filter fragment-RE term first-fragment-term] user@host# set from first-fragment protocol tcp destination-port bgp
Definieren Sie die Aktion für den Begriff.
[edit firewall family inet filter fragment-RE term first-fragment-term] user@host# set then accept
Definieren Sie den letzten Term für den Filter.
[edit] user@host# edit firewall family inet filter fragment-RE term fragment-term
Definieren Sie die Übereinstimmungsbedingungen für den Term.
[edit firewall family inet filter fragment-RE term fragment-term] user@host# set from fragment-offset 6–8191
Definieren Sie die Aktion für den Begriff.
[edit firewall family inet filter fragment-RE term fragment-term] user@host# set then accept
Ergebnisse
Bestätigen Sie Ihre Konfiguration, indem Sie den Befehl aus dem show firewall Konfigurationsmodus eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
user@host# show firewall
family inet {
filter fragment-RE {
term not-from-prefix-term {
from {
source-address {
0.0.0.0/0;
10.2.1.0/24 except;
}
}
then discard;
}
term small-offset-term {
from {
fragment-offset 1-5;
}
then {
syslog;
discard;
}
}
term not-fragmented-term {
from {
fragment-offset 0;
fragment-flags "!more-fragments";
protocol tcp;
destination-port bgp;
}
then accept;
}
term first-fragment-term {
from {
first-fragment;
protocol tcp;
destination-port bgp;
}
then accept;
}
term fragment-term {
from {
fragment-offset 6-8191;
}
then accept;
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Verifizierung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie die folgenden Schritte aus:
- Anzeigen von zustandslosen Firewall-Filterkonfigurationen
- Überprüfen eines Firewallfilters, der Fragmente verarbeitet
Anzeigen von zustandslosen Firewall-Filterkonfigurationen
Zweck
Überprüfen Sie die Konfiguration des Firewallfilters. Sie können den Fluss der Filterbegriffe analysieren, indem Sie sich die gesamte Konfiguration anzeigen lassen.
Action!
Geben Sie im Konfigurationsmodus den show firewall Befehl ein.
Bedeutung
Stellen Sie sicher, dass die Ausgabe die beabsichtigte Konfiguration des Firewallfilters anzeigt. Stellen Sie außerdem sicher, dass die Begriffe in der Reihenfolge aufgeführt sind, in der die Pakete getestet werden sollen. Sie können Begriffe innerhalb eines Firewallfilters verschieben, indem Sie den insert CLI-Befehl verwenden.
Überprüfen eines Firewallfilters, der Fragmente verarbeitet
Zweck
Vergewissern Sie sich, dass die Aktionen der Firewallfilterbegriffe ausgeführt werden.
Action!
Senden Sie Pakete an das Gerät, die den Bedingungen entsprechen.
Bedeutung
Stellen Sie sicher, dass Pakete von 10.2.1.0/24 mit kleinen Fragment-Offsets in den Systemprotokollierungszielen des Geräts für die Firewall-Einrichtung aufgezeichnet werden.