Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Ejemplo: Configuración de un filtro para bloquear el acceso TFTP

Requisitos

No se necesita ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.

Descripción general

De forma predeterminada, para reducir la vulnerabilidad a los ataques de denegación de servicio (DoS), Junos OS filtra y descarta los paquetes del Protocolo de configuración dinámica de host (DHCP) o del Protocolo de arranque (BOOTP) que tienen una dirección de origen de 0.0.0.0 y una dirección de destino de 255.255.255.255. Este filtro predeterminado se conoce como comprobación RPF de unidifusión. Sin embargo, los equipos de algunos proveedores aceptan automáticamente estos paquetes.

Topología

Para interoperar con el equipo de otros proveedores, puede configurar un filtro que compruebe ambas direcciones y anule el filtro RPF-check predeterminado aceptando estos paquetes. En este ejemplo, bloquea el acceso al Protocolo trivial de transferencia de archivos (TFTP), registrando cualquier intento de establecer conexiones TFTP.

Configuración

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Usar el editor de CLI en el modo de configuración.

Para configurar este ejemplo, realice las siguientes tareas:

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos de configuración en un archivo de texto, quite los saltos de línea y, a continuación, péguelos en la CLI en el nivel de jerarquía.[edit]

Configurar el filtro de firewall sin estado

Procedimiento paso a paso

Para configurar el filtro de firewall sin estado que bloquea selectivamente el acceso TFTP:

  1. Cree el filtro de firewall sin estado.tftp_access_control

  2. Especifique una coincidencia en los paquetes recibidos en el puerto UDP 69.

  3. Especifique que los paquetes coincidentes se registren en el búfer del motor de reenvío de paquetes y, a continuación, se descarten.

Aplicar el filtro de firewall a la interfaz de circuito cerrado

Procedimiento paso a paso

Para aplicar el filtro de firewall a la interfaz de circuito cerrado:

Confirme y confirme su configuración candidata

Procedimiento paso a paso

Para confirmar y confirmar la configuración del candidato:

  1. Confirme la configuración del filtro de firewall sin estado introduciendo el comando de modo de configuración.show firewall Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

  2. Confirme la configuración de la interfaz introduciendo el comando de modo de configuración.show interfaces Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

  3. Si ha terminado de configurar el dispositivo, confirme la configuración candidata.

Verificación

Confirme que la configuración funciona correctamente:

Verificación de paquetes registrados y descartados

Propósito

Compruebe que se han llevado a cabo las acciones de los términos del filtro de firewall.

Acción

Hacia

  1. Borre el registro del firewall en su enrutador o conmutador.

  2. Desde otro host, envíe un paquete al puerto UDP de este enrutador o conmutador.69

Temas relacionados