EN ESTA PÁGINA
Ejemplo: Anidamiento de referencias a varios filtros de firewall
En este ejemplo se muestra cómo configurar referencias anidadas a varios filtros de firewall.
Requisitos
No se necesita ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.
Descripción general
En este ejemplo, se configura un filtro de firewall para una combinación de condición de coincidencia y acción que se puede compartir entre varios filtros de firewall. A continuación, configure dos filtros de firewall que hagan referencia al primer filtro de firewall. Más adelante, si es necesario cambiar los criterios de filtrado comunes, solo modificará la configuración de un filtro de firewall compartido.
Topología
El filtro de firewall descarta los paquetes que tienen un número de campo de puerto de origen o destino UDP de .common_filter69 Los dos filtros de firewall adicionales y , hacen referencia al archivo .filter1filter2common_filter
Configuración
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte .Usar el editor de CLI en el modo de configuración
- Configuración rápida de CLI
- Configurar los filtros de firewall anidados
- Aplicar ambos filtros de firewall anidados a las interfaces
- Confirme y confirme su configuración candidata
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos en un archivo de texto, quite los saltos de línea y, a continuación, péguelos en la CLI en el nivel de jerarquía.[edit]
set firewall family inet filter common_filter term common_term from protocol udp set firewall family inet filter common_filter term common_term from port tftp set firewall family inet filter common_filter term common_term then discard set firewall family inet filter filter1 term term1 filter common_filter set firewall family inet filter filter1 term term2 from address 192.168.0.0/16 set firewall family inet filter filter1 term term2 then reject set firewall family inet filter filter2 term term1 filter common_filter set firewall family inet filter filter2 term term2 from protocol udp set firewall family inet filter filter2 term term2 from port bootps set firewall family inet filter filter2 term term2 then accept set interfaces ge-0/0/0 unit 0 family inet address 10.1.0.1/24 set interfaces ge-0/0/0 unit 0 family inet filter input filter1 set interfaces ge-0/0/3 unit 0 family inet address 10.1.3.1/24 set interfaces ge-0/0/3 unit 0 family inet filter input filter2
Configurar los filtros de firewall anidados
Procedimiento paso a paso
Para configurar dos filtros de firewall anidados que compartan un filtro común:
Navegue por la CLI hasta el nivel jerárquico en el que configura los filtros de firewall IPv4.
[edit] user@host# edit firewall family inet
Configure el filtro común al que harán referencia varios otros filtros.
[edit firewall family inet] user@host# set filter common_filter term common_term from protocol udp user@host# set filter common_filter term common_term from port tftp user@host# set filter common_filter term common_term then discard
Configure un filtro que haga referencia al filtro común.
[edit firewall family inet] user@host# set filter filter1 term term1 filter common_filter user@host# set filter filter1 term term2 from address 192.168.0.0/16 user@host# set filter filter1 term term2 then reject
Configure un segundo filtro que haga referencia al filtro común.
[edit firewall family inet] user@host# set filter filter2 term term1 filter common_filter user@host# set filter filter2 term term2 from protocol udp user@host# set filter filter2 term term2 from port bootps user@host# set filter filter2 term term2 then accept
Aplicar ambos filtros de firewall anidados a las interfaces
Procedimiento paso a paso
Para aplicar ambos filtros de firewall anidados a interfaces lógicas:
Aplique el primer filtro anidado a una entrada de interfaz lógica.
[edit] user@host# set interfaces ge-0/0/0 unit 0 family inet address 10.1.0.1/24 user@host# set interfaces ge-0/0/0 unit 0 family inet filter input filter1
Aplique el segundo filtro anidado a una entrada de interfaz lógica.
[edit] user@host# set interfaces ge-0/0/3 unit 0 family inet address 10.1.3.1/24 user@host# set interfaces ge-0/0/3 unit 0 family inet filter input filter2
Confirme y confirme su configuración candidata
Procedimiento paso a paso
Para confirmar y confirmar la configuración del candidato:
Confirme la configuración del filtro de firewall introduciendo el comando de modo de configuración.
show firewallSi el resultado del comando no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.[edit] user@host# show firewall family inet { filter common_filter { term common_term { from { protocol udp; port tftp; } then { discard; } } } filter filter1 { term term1 { filter common_filter; } term term2 { from { address 192.168/16; } then { reject; } } } filter filter2 { term term1 { filter common_filter; } term term2 { from { protocol udp; port bootps; } then { accept; } } } }Confirme la configuración de la interfaz introduciendo el comando de modo de configuración.
show interfacesSi el resultado del comando no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.[edit] user@host# show interfaces ge-0/0/0 { unit 0 { family inet { filter { input filter1; } address 10.1.0.1/24; } } } ge-0/0/3 { unit 0 { family inet { filter { input filter2; } address 10.1.3.1/24; } } }Si ha terminado de configurar el dispositivo, confirme la configuración candidata.
[edit] user@host# commit
Verificación
Para confirmar que la configuración funciona correctamente, introduzca los comandos y modo operativo.show firewall filter filter1show firewall filter filter2