EN ESTA PÁGINA
Ejemplo: Configuración de un filtro de firewall DHCP para proteger el motor de enrutamiento
En este ejemplo se muestra cómo configurar un filtro de firewall para garantizar que los paquetes DHCP adecuados puedan llegar al motor de enrutamiento en los enrutadores de la serie MX.
Requisitos
Este ejemplo de configuración solo se aplica a enrutadores en los que el proceso jdhcpd proporciona servicios de servidor local DHCP y agente de retransmisión DHCP en lugar del proceso dhcpd heredado o el proceso fud (reenvío UDP). Los enrutadores serie MX, M120 y M320 usan jdhcpd. Para la retransmisión DHCP, esto significa que la configuración solo es necesaria en el nivel de jerarquía y no en el nivel de jerarquía.[edit forwarding-options dhcp-relay]
[edit forwarding-options helpers bootp]
No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de poder configurar esta función.
Descripción general
Los filtros de firewall que realizan alguna acción en los paquetes DHCP en el motor de enrutamiento, como un filtro para proteger el motor de enrutamiento permitiendo solo los paquetes DHCP adecuados, requieren que tanto el puerto 67 (bootps) como el puerto 68 (bootpc) estén configurados como puertos de origen y destino.
jdhcpd encapsula los paquetes DHCP recibidos en las tarjetas de línea con un nuevo encabezado UDP donde sus direcciones de origen y destino se establecen en el puerto 68 antes de reenviarse al motor de enrutamiento. Para la retransmisión DHCP y el proxy DHCP, los paquetes enviados al servidor DHCP desde el enrutador tienen los puertos UDP de origen y destino establecidos en 67. El servidor DHCP responde utilizando los mismos puertos. Sin embargo, cuando la tarjeta de línea recibe estos paquetes de respuesta DHCP, cambia ambos números de puerto de 67 a 68 antes de pasar los paquetes al motor de enrutamiento. En consecuencia, el filtro debe aceptar el puerto 67 para los paquetes retransmitidos desde el cliente al servidor y el puerto 68 para los paquetes retransmitidos desde el servidor al cliente.
En este ejemplo, se configuran dos términos de filtro y .dhcp-client-accept
dhcp-server-accept
Las condiciones de coincidencia para especificar una dirección de origen y una dirección de destino para los paquetes de difusión, el protocolo UDP utilizado para los paquetes DHCP y el puerto de origen bootpc (68).dhcp-client-accept
Los paquetes que cumplen estas condiciones se cuentan y se aceptan. No es necesario especificar una condición de coincidencia para el puerto de destino ps (67) de arranque. Tal como se configura a continuación, este término puede controlar tanto el paquete real (puerto 68) que pasa al motor de reenvío de paquetes como el paquete encapsulado (puerto 67 convertido a 68 por jdhcpd) que llega al demonio DHCP.
Las condiciones de coincidencia para especifican el protocolo UDP utilizado para los paquetes DHCP, y los puertos 67 y 68 para el puerto de origen y el puerto de destino.dhcp-server-accept
Los paquetes que cumplen estas condiciones se cuentan y se aceptan.
En este ejemplo no se muestran todas las opciones de configuración posibles ni cómo se aplica el filtro en la configuración. Este ejemplo se aplica tanto a la aplicación estática del filtro como a la aplicación dinámica con un perfil dinámico.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente el filtro DHCP del motor de enrutamiento de ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea y, a continuación, copie y pegue los comandos en la CLI.
[edit] edit firewall family inet filter RE-protect edit term dhcp-client-accept set from source-address 0.0.0.0/32 set from destination-address 255.255.255.255/32 set from protocol udp set from source-port 68 set then count dhcp-client-accept set then accept up edit term dhcp-server-accept set from protocol udp set from source-port 67 set from source-port 68 set from destination-port 67 set from destination-port 68 set then count dhcp-server-accept set then accept top
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Para configurar un filtro de firewall DHCP para proteger el motor de enrutamiento:
Cree o especifique un filtro de firewall.
[edit firewall] user@host# edit family inet filter RE-protect
Cree un término de filtro para el cliente.
[edit firewall family inet filter RE-protect] user@host# edit term dhcp-client-accept
Especifique las condiciones de coincidencia para los paquetes DHCP.
[edit firewall family inet filter RE-protect term dhcp-client-accept] user@host# set from source-address 0.0.0.0/32 user@host# set from destination-address 255.255.255.255/32 user@host# set from protocol udp user@host# set from source-port 68 user@host# set from destination-port 67
Especifique la acción que se debe realizar para los paquetes coincidentes.
[edit firewall family inet filter RE-protect term dhcp-client-accept] user@host# set then count dhcp-client-accept user@host# set then accept
Cree un término de filtro para el servidor.
[edit firewall family inet filter RE-protect] user@host# edit term dhcp-server-accept
Especifique las condiciones de coincidencia para los paquetes DHCP.
[edit firewall family inet filter RE-protect term dhcp-server-accept] user@host# set from protocol udp user@host# set from source-port [67 68] user@host# set from destination-port [67 68]
Especifique la acción que se debe realizar para los paquetes coincidentes.
[edit firewall family inet filter RE-protect term dhcp-server-accept] user@host# set then count dhcp-client-accept user@host# set then accept
Resultados
Desde el modo de configuración, confírmela con el comando show firewall
. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show firewall family inet { filter RE-protect { term dhcp-client-accept { from { source-address { 0.0.0.0/32; } destination-address { 255.255.255.255/32; } protocol udp; source-port 68; destination-port 67; } then { count dhcp-client-accept; accept; } } term dhcp-server-accept { from { protocol udp; source-port [ 67 68 ]; destination-port [ 67 68 ]; } then { count dhcp-server-accept; accept; } } } }
Cuando termine de configurar el dispositivo, ingrese commit
en el modo de configuración.
Verificación
Para confirmar que el filtro de protección DHCP del motor de enrutamiento pasa correctamente los paquetes DHCP, realice estas tareas:
Comprobación de la operación del filtro DHCP
Propósito
Compruebe que ambos contadores se incrementan a medida que el tráfico DHCP pasa al motor de enrutamiento.
Acción
Desde el modo operativo, ingrese el comando show firewall family inet filter RE-protect
.
user@host> show firewall family inet filter RE-protect Filter: RE-protect Counters: Name Bytes Packets dhcp-client-accept 328 1 dhcp-server-accept 574 1 user@host> show firewall family inet filter RE-protect Filter: RE-protect Counters: Name Bytes Packets dhcp-client-accept 660 2 dhcp-server-accept 1152 2
Significado
El resultado enumera ambos contadores configurados, dhcp-client-accept y dhcp-server-accept. Al emitir el comando más de una vez, puede ver que los campos de bytes y paquetes muestran que el tráfico se está aceptando y contando.