Exemple : Configuration d’un filtre pour limiter l’accès TCP à un port en fonction d’une liste de préfixes
Cet exemple montre comment configurer un filtre de pare-feu sans état standard qui limite certains trafics TCP et ICMP (Internet Control Message Protocol) destinés au moteur de routage en spécifiant une liste de sources de préfixes contenant des homologues BGP autorisés.
Conditions préalables
Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de configurer cet exemple.
Présentation
Dans cet exemple, vous créez un filtre de pare-feu sans état qui bloque toutes les tentatives de connexion TCP vers le port 179 de tous les demandeurs, à l’exception des homologues BGP qui ont un préfixe spécifié.
Topologie
Une liste de préfixes source, plist_bgp179, est créée et spécifie la liste des préfixes source contenant les homologues BGP autorisés.
Le filtre filter_bgp179 de pare-feu sans état fait correspondre tous les paquets de la liste plist_bgp179 de préfixes source au numéro de port de destination 179.
Configuration
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie.
set policy-options prefix-list plist_bgp179 apply-path "protocols bgp group <*> neighbor <*>" set firewall family inet filter filter_bgp179 term 1 from source-address 0.0.0.0/0 set firewall family inet filter filter_bgp179 term 1 from source-prefix-list plist_bgp179 except set firewall family inet filter filter_bgp179 term 1 from destination-port bgp set firewall family inet filter filter_bgp179 term 1 then reject set firewall family inet filter filter_bgp179 term 2 then accept set interfaces lo0 unit 0 family inet filter input filter_bgp179 set interfaces lo0 unit 0 family inet address 127.0.0.1/32
Configurer le filtre
Procédure étape par étape
L’exemple suivant nécessite que vous naviguiez à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration du Guide de l’utilisateur de l’interface de ligne de commande Junos OS.
Pour configurer le filtre :
Développez la liste bgp179 des préfixes pour inclure tous les préfixes pointés par le groupe homologues pair BGP défini par protocols bgp group <*> neighbor <*>.
[edit policy-options prefix-list plist_bgp179] user@host# set apply-path " protocols bgp group <*> neighbor <*>"
Définissez le terme de filtre qui rejette les tentatives de connexion TCP vers le port 179 de tous les demandeurs, à l’exception des homologues BGP spécifiés.
[edit firewall family inet filter filter_bgp179] user@host# set term term1 from source-address 0.0.0.0/0 user@host# set term term1 from source-prefix-list bgp179 except user@host# set term term1 from destination-port bgp user@host# set term term1 then reject
Définissez l’autre terme de filtre pour qu’il accepte tous les paquets.
[edit firewall family inet filter filter_bgp179] user@host# set term term2 then accept
Appliquez le filtre de pare-feu à l’interface de bouclage.
[edit interfaces lo0 unit 0 family inet] user@host# set filter input filter_bgp179 user@host# set address 127.0.0.1/32
Résultats
À partir du mode de configuration, confirmez votre configuration en saisissant les commandes show firewall, show interfaces et show policy-options . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
user@host# show firewall
family inet {
filter filter_bgp179 {
term 1 {
from {
source-address {
0.0.0.0/0;
}
source-prefix-list {
plist_bgp179 except;
}
destination-port bgp;
}
then {
reject;
}
}
term 2 {
then {
accept;
}
}
}
}
user@host# show interfaces
lo0 {
unit 0 {
family inet {
filter {
input filter_bgp179;
}
address 127.0.0.1/32;
}
}
}
user@host# show policy-options
prefix-list plist_bgp179 {
apply-path "protocols bgp group <*> neighbor <*>";
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
Affichage du filtre de pare-feu appliqué à l’interface de bouclage
But
Vérifiez que le filtre filter_bgp179 de pare-feu est appliqué au trafic d’entrée IPv4 au niveau de l’interface lo0.0logique .
Action
Utilisez la commande show interfaces statistics operational mode pour l’interface lo0.0logique et incluez l’option detail. Dans la Protocol inet section de la section de sortie de la commande, le champ affiche le Input Filters nom du filtre de pare-feu sans état appliqué à l’interface logique dans le sens d’entrée.
[edit]
user@host> show interfaces statistics lo0.0 detail
Logical interface lo0.0 (Index 321) (SNMP ifIndex 16) (Generation 130)
Flags: SNMP-Traps Encapsulation: Unspecified
Traffic statistics:
Input bytes : 0
Output bytes : 0
Input packets: 0
Output packets: 0
Local statistics:
Input bytes : 0
Output bytes : 0
Input packets: 0
Output packets: 0
Transit statistics:
Input bytes : 0 0 bps
Output bytes : 0 0 bps
Input packets: 0 0 pps
Output packets: 0 0 pps
Protocol inet, MTU: Unlimited, Generation: 145, Route table: 0
Flags: Sendbcast-pkt-to-re
Input Filters: filter_bgp179
Addresses, Flags: Primary
Destination: Unspecified, Local: 127.0.0.1, Broadcast: Unspecified, Generation: 138