Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ejemplo: Configuración de un filtro de firewall sin estado para aceptar tráfico de fuentes de confianza

En este ejemplo se muestra cómo crear un filtro de firewall sin estado que protege el motor de enrutamiento del tráfico que se origina en orígenes que no son de confianza.

Requisitos

No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar los filtros de firewall sin estado.

Descripción general

En este ejemplo, se crea un filtro de firewall sin estado denominado protect-RE que descarta todo el tráfico destinado al motor de enrutamiento, excepto los paquetes de protocolo SSH y BGP de orígenes de confianza especificados. En este ejemplo se incluyen los siguientes términos de filtro de firewall:

  • : acepta paquetes TCP con una dirección de origen y un puerto de destino que especifica SSH.ssh-term192.168.122.0/24

  • : acepta paquetes TCP con una dirección de origen y un puerto de destino que especifique BGP.bgp-term10.2.1.0/24

  • : para todos los paquetes que no son aceptados por o , crea un registro de filtro de firewall y registros de registro del sistema y, a continuación, descarta todos los paquetes.discard-rest-termssh-termbgp-term

Nota:

Puede mover términos dentro del filtro del firewall mediante el comando.insert Consulte insertar en la Guía del usuario de la CLI de Junos OS.inserthttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y pegue los comandos en la CLI en el nivel de jerarquía.[edit]

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte la Guía del usuario de la CLI de Junos OS.Usar el editor de CLI en el modo de configuraciónhttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html

Para configurar el filtro de firewall sin estado:

  1. Cree el filtro de firewall sin estado.

  2. Cree el primer término de filtro.

  3. Defina las condiciones de coincidencia del protocolo, el puerto de destino y la dirección de origen para el término.

  4. Defina las acciones para el término.

  5. Cree el segundo término de filtro.

  6. Defina las condiciones de coincidencia del protocolo, el puerto de destino y la dirección de origen para el término.

  7. Defina la acción para el término.

  8. Cree el tercer término de filtro.

  9. Defina la acción para el término.

  10. Aplique el filtro al lado de entrada de la interfaz del motor de enrutamiento.

Resultados

Confirme la configuración introduciendo el comando y el comando desde el modo de configuración.show firewallshow interfaces lo0 Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Verificación

Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:

Visualización de configuraciones de filtro de firewall sin estado

Propósito

Compruebe la configuración del filtro de firewall.

Acción

En el modo de configuración, escriba el comando y el comando.show firewallshow interfaces lo0

Significado

Compruebe que el resultado muestra la configuración prevista del filtro de firewall. Además, compruebe que los términos se enumeran en el orden en que desea que se prueben los paquetes. Puede mover términos dentro de un filtro de firewall mediante el comando de la CLI.insert

Verificar un filtro de firewall de servicios, protocolos y fuentes de confianza

Propósito

Compruebe que se han llevado a cabo las acciones de los términos del filtro de firewall.

Acción

Enviar paquetes al dispositivo que coincidan con los términos. Además, compruebe que se han realizado las acciones de filtrado para los paquetes que no coinciden.not

  • Use el comando de un host en una dirección IP que coincida para comprobar que puede iniciar sesión en el dispositivo usando solo SSH de un host con este prefijo de dirección.ssh host-name192.168.122.0/24

  • Utilice el comando para comprobar que la tabla de enrutamiento del dispositivo no contiene ninguna entrada con un protocolo distinto de , , , o .show route summaryDirectLocalBGPStatic

Salida de muestra
nombre-comando
nombre-comando

Significado

Verifique la información siguiente:

  • Puede iniciar sesión correctamente en el dispositivo mediante SSH.

  • El comando no muestra un protocolo distinto de , , , o .show route summaryDirectLocalBGPStatic

Visualización de registros de filtro de firewall sin estado

Propósito

Compruebe que se están registrando los paquetes. Si incluyó la acción o en un término, compruebe que los paquetes que coincidan con el término estén registrados en el registro del firewall o en el servicio de registro del sistema.logsyslog

Acción

Desde el modo operativo, ingrese el comando show firewall log.

Salida de muestra
nombre-comando

Significado

Cada registro de la salida contiene información sobre el paquete registrado. Verifique la información siguiente:

  • En , se muestra la hora del día en que se filtró el paquete.Time

  • El resultado es siempre .Filterpfe

  • En , la acción configurada del término coincide con la acción realizada en el paquete: (aceptar), (descartar), (rechazar).ActionADR

  • En , la interfaz entrante (entrada) en la que llegó el paquete es adecuada para el filtro.Interface

  • En , el protocolo del encabezado IP del paquete es adecuado para el filtro.Protocol

  • En , la dirección de origen del encabezado IP del paquete es adecuada para el filtro.Src Addr

  • En , la dirección de destino en el encabezado IP del paquete es adecuada para el filtro.Dest Addr