EN ESTA PÁGINA
Ejemplo: Configuración de un filtro para que coincida con dos criterios no relacionados
En este ejemplo se muestra cómo configurar un filtro de firewall sin estado estándar para que coincida con dos criterios no relacionados.
Requisitos
No se necesita ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.
Descripción general
En este ejemplo, se usa un filtro de firewall sin estado estándar para hacer coincidir paquetes IPv4 que son paquetes OSPF o paquetes que provienen de una dirección del prefijo , y se envía un mensaje ICMP para todos los paquetes que no coinciden.10.108/16administratively-prohibited
Configuración
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte .Usar el editor de CLI en el modo de configuración
Para configurar este ejemplo, realice las siguientes tareas:
- Configuración rápida de CLI
- Configuración del filtro de firewall IPv4
- Aplicación del filtro de firewall IPv4 a una interfaz lógica
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos de configuración en un archivo de texto, quite los saltos de línea y, a continuación, péguelos en la CLI en el nivel de jerarquía.[edit]
set firewall family inet filter ospf_or_131 term protocol_match from protocol ospf set firewall family inet filter ospf_or_131 term address-match from source-address 10.108.0.0/16 set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30 set interfaces ge-0/0/1 unit 0 family inet filter input ospf_or_131
Configuración del filtro de firewall IPv4
Procedimiento paso a paso
Para configurar el filtro de firewall IPv4:
Habilite la configuración del filtro de firewall IPv4.
[edit] user@host# edit firewall family inet filter ospf_or_131
Configure el primer término para aceptar paquetes OSPF.
[edit firewall family inet filter ospf_or_131] user@host# set term protocol_match from protocol ospf
Los paquetes que coinciden con la condición se aceptan de forma predeterminada. Dado que otro término sigue a este término, los paquetes que no coinciden con esta condición se evalúan en el siguiente término.
Configure el segundo término para aceptar paquetes de cualquier dirección IPv4 en un prefijo determinado.
[edit firewall family inet filter ospf_or_131] user@host# set term address_match from source-address 10.108.0.0/16
Los paquetes que cumplen esta condición se aceptan de forma predeterminada. Dado que este es el último término del filtro, los paquetes que no coinciden con esta condición se descartan de forma predeterminada.
Resultados
Confirme la configuración del filtro de firewall sin estado introduciendo el comando de modo de configuración.show firewall Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.
[edit]
user@host# show firewall
family inet {
filter ospf_or_131 {
term protocol_match {
from {
protocol ospf;
}
}
term address_match {
from {
source-address {
10.108.0.0/16;
}
}
}
}
}
Aplicación del filtro de firewall IPv4 a una interfaz lógica
Procedimiento paso a paso
Para aplicar el filtro de firewall sin estado a una interfaz lógica:
Habilite la configuración de una interfaz lógica.
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
Configure una dirección IP para la interfaz lógica.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
Aplique el filtro de firewall IPv4 a la interfaz lógica.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input ospf_or_131
Resultados
Confirme la configuración de la interfaz introduciendo el comando de modo de configuración.show interfaces Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.
[edit]
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family inet {
filter {
input ospf_or_131;
}
address 10.1.2.3/30;
}
}
}
Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, introduzca el comando de modo operativo.show firewall filter ospf_or_131