EN ESTA PÁGINA
Ejemplo: Configuración de un filtro para aceptar paquetes OSPF desde un prefijo
En este ejemplo se muestra cómo configurar un filtro de firewall sin estado estándar para aceptar paquetes de una fuente de confianza.
Requisitos
No se necesita ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.
Descripción general
En este ejemplo, se crea un filtro que sólo acepta paquetes OSPF de una dirección del prefijo 10.108.0.0/16, descartando todos los demás paquetes con un mensaje ICMPadministratively-prohibited
Configuración
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte .Usar el editor de CLI en el modo de configuración
Para configurar este ejemplo, realice las siguientes tareas:
- Configuración rápida de CLI
- Configurar el filtro de firewall sin estado
- Aplicar el filtro de firewall a la interfaz de circuito cerrado
- Confirme y confirme su configuración candidata
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos de configuración en un archivo de texto, quite los saltos de línea y, a continuación, péguelos en la CLI en el nivel de jerarquía.[edit]
set firewall family inet filter ospf_filter term term1 from source-address 10.108.0.0/16 set firewall family inet filter ospf_filter term term1 from protocol ospf set firewall family inet filter ospf_filter term term1 then accept set firewall family inet filter ospf_filter term default-term then reject administratively-prohibited set interfaces lo0 unit 0 family inet address 10.1.2.3/30 set interfaces lo0 unit 0 family inet filter input ospf_filter
Configurar el filtro de firewall sin estado
Procedimiento paso a paso
Para configurar el filtro de firewall sin estado:ospf_filter
Cree el filtro.
[edit] user@host# edit firewall family inet filter ospf_filter
Configure el término que acepta paquetes.
[edit firewall family inet filter ospf_filter] user@host# set term term1 from source-address 10.108.0.0/16 user@host# set term term1 from protocol ospf user@host# set term term1 then accept
Configure el término que rechaza todos los demás paquetes.
[edit firewall family inet filter ospf_filter] user@host# set term default_term then reject administratively-prohibited
Aplicar el filtro de firewall a la interfaz de circuito cerrado
Procedimiento paso a paso
Para aplicar el filtro de firewall a la interfaz de circuito cerrado:
Configure la interfaz.
[edit] user@host# edit interfaces lo0 unit 0 family inet
Configure la dirección IP de la interfaz lógica.
[edit interfaces lo0 unit 0 family inet] user@host# set address 10.1.2.3/30
Aplique el filtro a la entrada.
[edit interfaces lo0 unit 0 family inet] user@host# set filter input ospf_filter
Confirme y confirme su configuración candidata
Procedimiento paso a paso
Para confirmar y confirmar la configuración del candidato:
Confirme la configuración del filtro de firewall sin estado introduciendo el comando de modo de configuración.
show firewall
Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.[edit] user@host# show firewall family inet { filter ospf_filter { term term1 { from { source-address { 10.108.0.0/16; } protocol ospf; } then { accept; } } term default_term { then { reject administratively-prohibited; # default reject action } } } }
Confirme la configuración de la interfaz introduciendo el comando de modo de configuración.
show interfaces
Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.[edit] user@host# show interfaces lo0 { unit 0 { family inet { filter { input ospf_filter; } address 10.1.2.3/30; } } }
Si ha terminado de configurar el dispositivo, confirme la configuración candidata.
[edit] user@host# commit
Verificación
Para confirmar que la configuración funciona correctamente, introduzca el comando de modo operativo.show firewall filter ospf_filter