Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

Ejemplo Aplicación de listas de varios filtros de Firewall

 

Este ejemplo muestra cómo aplicar listas de varios filtros de Firewall.

Aplicables

Antes de comenzar, asegúrese de que dispone de lo siguiente:

  • Instaló el enrutador o conmutador y admitía PIC, DPC u MPC, y realizó la configuración del enrutador o conmutador inicial.

  • Configurada Ethernet básica en la topología.

  • Se ha configurado una interfaz lógica para ejecutar el protocolo IP versión 4 (family inet) y ha configurado la interfaz lógica con una dirección de interfaz. En este ejemplo se utiliza ge-1/3/0.0 una interfaz lógica configurada con la dirección IP 172.16.1.2/30.

    Nota

    Para estar completo, la sección de configuración de este ejemplo incluye el establecimiento de una dirección IP ge-1/3/0.0para la interfaz lógica.

  • Comprobó que el tráfico fluye en la topología y que el tráfico IPv4 de entrada y salida se transmite a través de una ge-1/3/0.0interfaz lógica.

  • Compruebe que tiene acceso al host remoto que está conectado a este enrutador’o interfaz ’lógicage-1/3/0.0del conmutador s.

Descripción general

En este ejemplo, se configuran tres filtros de Firewall IPv4 y se aplican los filtros directamente a la misma interfaz lógica utilizando una lista.

Topología

En este ejemplo se aplican los siguientes filtros de Firewall como una lista de filtros de entrada  en la interfaz ge-1/3/0.0lógica. Cada filtro contiene un único término que evalúa los paquetes IPv4 y acepta los paquetes basándose en el valor del destination port campo del encabezado TCP:

  • Filtrar filter_FTP coincidencias en el número21de puerto FTP ().

  • Filtrar filter_SSH coincidencias en el número22de Puerto ssh ().

  • Filtrar filter_Telnet coincidencias en el número23de puerto de telnet ().

Si un paquete entrante no coincide con ninguno de los filtros de la lista de entrada, el paquete se descarta.

Nota

El Junos OS utiliza filtros en una lista en el orden en el que aparecen los nombres de filtro en la lista. En este sencillo ejemplo, el orden es irrelevante, ya que todos los filtros especifican la misma acción.

Cualquiera de los filtros puede aplicarse a otras interfaces, ya sea de forma individual input ( output con la sentencia or) o junto con otros filtros ( input-list con output-list la sentencia or). El objetivo consiste en configurar varios “filtros” de cortafuegos minimalistas que se pueden reutilizar en listas de filtros específicas de interfaces.

Automática

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener más información sobre Cómo desplazarse por la CLI, consulte Using the CLI Editor in Configuration Mode.

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los comandos siguientes en un archivo de texto, quite los saltos de línea y, a continuación, péguelos en la [edit] CLI en el nivel jerárquico.

Configurar varios filtros de Firewall IPv4

Procedimiento detallado

Para configurar los filtros del cortafuegos IPv4:

  1. Explore la CLI hasta el nivel de jerarquía en el que configure los filtros del firewall IPv4.

  2. Configure el primer filtro de Firewall para contar y aceptar paquetes para el puerto 21.

  3. Configure el segundo filtro de Firewall para contar y aceptar paquetes para el puerto 22.

  4. Configure el tercer filtro de Firewall para contar y aceptar paquetes del puerto 23.

  5. Configure el último filtro de Firewall para contar los paquetes descartados.

Aplicar los filtros a una interfaz lógica como una lista de entrada y una lista de salida

Procedimiento detallado

Para aplicar los seis filtros de cortafuegos IPv4 como una lista de filtros de entrada y una lista de filtros de salida:

  1. Explore la CLI hasta el nivel de la jerarquía en el que aplique los filtros del Firewall ge-1/3/0.0de IPv4 a la interfaz lógica.

  2. Configure la familia del protocolo IPv4 para la interfaz lógica.

  3. Aplique los filtros como una lista de filtros de entrada.

Confirmar y confirmar la configuración del candidato

Procedimiento detallado

Para confirmar y, a continuación, confirmar la configuración del candidato:

  1. Para confirmar la configuración de los filtros del firewall, show firewall escriba el comando de modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

  2. Para confirmar la configuración de la interfaz, escriba show interfaces el comando de modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

  3. Si ha terminado de configurar el dispositivo, confirme con la configuración del candidato.

Comproba

Confirme que la configuración funciona correctamente.

Verificación de que los paquetes entrantes solo se aceptan si están destinados a FTP, SSH o puerto Telnet

Finalidad

Compruebe que los tres filtros están activos para la interfaz lógica.

Acción

Para comprobar que los paquetes de entrada se aceptan de acuerdo con los tres filtros siguientes:

  1. Desde el host remoto que está conectado a esta interfaz’’ge-1/3/0.0lógica de enrutador (o conmutadores), envíe un paquete con el número de puerto de destino 21 en el encabezado. Se debe aceptar el paquete.
  2. Desde el host remoto que está conectado a esta interfaz’’ge-1/3/0.0lógica de enrutador (o conmutadores), envíe un paquete con el puerto de destino número 22 en el encabezado. Se debe aceptar el paquete.
  3. Desde el host remoto que está conectado a la interfaz’’ge-1/3/0.0lógica s (o switch s), envíe un paquete con el número de puerto de destino 23 en el encabezado. Se debe aceptar el paquete.
  4. Desde el host remoto que está conectado a la interfaz’ge-1/3/0.0lógica s (o’conmutadores), envíe un paquete con un número de puerto de destino distinto de 21, 22 ó 23. El paquete debe descartarse.
  5. Para mostrar la información de contador de la lista de filtros aplicados a ge-1/3/0.0-i la entrada show firewall filter ge-1/3/0.0-i en especifique el comando del modo operativo. El resultado del comando muestra el número de bytes y paquetes que coinciden con los términos del filtro asociados con los siguientes contadores:

    • pkts_FTP-ge-1/3/0.0-i

    • pkts_SSH-ge-1/3/0.0-i

    • pkts_Telnet-ge-1/3/0.0-i

    • pkts_discard-ge-1/3/0.0-i