Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ejemplo: Configuración del registro para un término de filtro de firewall sin estado

En este ejemplo se muestra cómo configurar un filtro de firewall sin estado estándar para registrar encabezados de paquetes.

Requisitos

No se necesita ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.

Descripción general

En este ejemplo, se usa un filtro de firewall sin estado que registra y cuenta los paquetes ICMP que tienen como origen o destino.192.168.207.222

Configuración

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte .Usar el editor de CLI en el modo de configuración

Para configurar este ejemplo, realice las siguientes tareas:

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos de configuración en un archivo de texto, quite los saltos de línea y, a continuación, péguelos en la CLI en el nivel de jerarquía.[edit]

Configurar el archivo de mensajes syslog para el servicio de firewall

Procedimiento paso a paso

Para configurar un archivo de mensajes syslog para la instalación:firewall

  1. Configure un archivo de mensajes para todos los mensajes syslog generados para la instalación.firewall

  2. Restrinja el permiso a los archivos syslog de la instalación archivados al usuario raíz y a los usuarios que tengan el permiso de mantenimiento de Junos OS.firewall

Configurar el filtro de firewall sin estado

Procedimiento paso a paso

Para configurar el filtro de firewall sin estado que registra y cuenta los paquetes ICMP que tienen como origen o destino:icmp_syslog192.168.207.222

  1. Cree el filtro de firewall sin estado.icmp_syslog

  2. Configure la coincidencia en el protocolo ICMP y una dirección.

  3. Contar, registrar y aceptar paquetes coincidentes.

  4. Acepte todos los demás paquetes.

Aplicar el filtro de firewall sin estado a una interfaz lógica

Procedimiento paso a paso

Para aplicar el filtro de firewall sin estado a una interfaz lógica:

  1. Configure la interfaz lógica a la que aplicará el filtro de firewall sin estado.

  2. Configure la dirección de interfaz para la interfaz lógica.

  3. Aplique el filtro de firewall sin estado a la interfaz lógica.

Confirme y confirme su configuración candidata

Procedimiento paso a paso

Para confirmar y confirmar la configuración del candidato:

  1. Confirme la configuración del archivo de mensajes syslog para la instalación introduciendo el comando de modo de configuración.firewallshow system Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

  2. Confirme la configuración del filtro de firewall sin estado introduciendo el comando de modo de configuración.show firewall Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

  3. Confirme la configuración de la interfaz introduciendo el comando de modo de configuración.show interfaces Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

  4. Si ha terminado de configurar el dispositivo, confirme la configuración candidata.

Verificación

Para confirmar que la configuración funciona correctamente, escriba el comando:show log filter

Este archivo de salida contiene los siguientes campos:

  • Date and Time: fecha y hora en que se recibió el paquete (no se muestra en el valor predeterminado).

  • Acción de filtro:

    • A—Aceptar (o el próximo trimestre)

    • D—Descartar

    • R—Rechazar

  • Protocol: nombre o número del protocolo del paquete.

  • Source address: dirección IP de origen en el paquete.

  • Destination address: dirección IP de destino en el paquete.

    Nota:

    Si el protocolo es ICMP, se muestran el tipo ICMP y el código. Para todos los demás protocolos, se muestran los puertos de origen y destino.

Los dos últimos campos (ambos cero) son los puertos TCP/UDP de origen y destino, respectivamente, y se muestran solo para paquetes TCP o UDP. Este mensaje de registro indica que sólo se ha detectado un paquete para esta coincidencia en un intervalo de aproximadamente un segundo. Si los paquetes llegan más rápido, la función de registro del sistema comprime la información para que se genere menos salida y muestra una salida similar a la siguiente: