Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemple: Configuration d’un filtre pour limiter l’accès TCP à un port en fonction d’une liste de préfixes

Cet exemple montre comment configurer un filtre de pare-feu sans état standard qui limite certains trafics ICMP (Internet Control Message Protocol) et TCP à destination des moteur de routage en spécifiant une liste de sources de préfixe contenant les pairs BGP autorisés.

Conditions préalables

Aucune configuration particulière au-delà de l’initialisation de l’équipement n’est requise avant de configurer cet exemple.

Présentation

Dans cet exemple, vous créez un filtre de pare-feu sans état qui bloque toutes les tentatives de connexion TCP pour port 179 de tous les demandeurs, à l’exception BGP pairs 100 % 1 préfixe spécifié.

Topologie

Une liste de préfixes source est créée pour spécifier la liste des préfixes source contenant les BGP plist_bgp179 pairs autorisés.

Le filtre de pare-feu sans état correspondance tous les paquets entre la liste de préfixe source et le filter_bgp179plist_bgp179 port de destination 179.

Configuration

CLI configuration rapide

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les interruptions de ligne, modifiez tous les détails nécessaires pour correspondre à votre configuration réseau, puis copiez/collez les commandes dans le CLI au niveau de la [edit] hiérarchie.

Configurer le filtre

Procédure étape par étape

L’exemple suivant nécessite de naviguer dans différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la CLI, consultez le manuel Using the CLI Editor in Configuration Mode dans le Junos OS CLI User Guide.

Pour configurer le filtre:

  1. Élargissez la liste de préfixes pour inclure tous les préfixes pointés du bgp179 BGP groupe de pairs défini par protocols bgp group <*> neighbor <*> .

  2. Définir le terme de filtre qui rejette les tentatives de connexion TCP pour port 179 de tous les demandeurs, sauf les pairs BGP spécifiés.

  3. Définissez l’autre terme de filtre pour accepter tous les paquets.

  4. Appliquez le filtre de pare-feu à l’interface de bouclation.

Résultats

Depuis le mode de configuration, confirmez votre configuration en entrant les show firewallshow interfaces commandes et les . show policy-options Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Si vous avez terminé la configuration de l’équipement, commit saisissez-le en mode de configuration.

Vérification

Vérifier que la configuration fonctionne correctement.

Affichage du filtre de pare-feu appliqué à l’interface de bouclage

But

Vérifiez que le filtre de pare-feu est appliqué au trafic d’entrée filter_bgp179 IPv4 à l’interface logique lo0.0 .

Action

Utilisez la show interfaces statistics operational mode commande pour l’interface lo0.0 logique et utilisez detail l’option. Dans la section de la section de sortie de commande, le champ affiche le nom du filtre de pare-feu sans état appliqué à l’interface logique Protocol inetInput Filters dans la direction d’entrée.