Exemple : Configuration d’un filtre de pare-feu sur une interface de gestion sur un commutateur EX Series
Vous pouvez configurer un filtre de pare-feu sur une interface de gestion d’un commutateur EX Series pour filtrer le trafic entrant ou sortant sur l’interface de gestion du commutateur. Vous pouvez utiliser des utilitaires tels que SSH ou Telnet pour vous connecter à l’interface de gestion sur le réseau, puis utiliser des protocoles de gestion tels que SNMP pour collecter des données statistiques à partir du commutateur.
Cet exemple explique comment configurer un filtre de pare-feu sur une interface de gestion pour filtrer les paquets SSH sortant d’un commutateur EX Series :
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
Un commutateur EX Series et un PC de gestion
Junos OS version 10.4 ou ultérieure pour les commutateurs EX Series
Vue d’ensemble et topologie
Topologie
Dans cet exemple, un PC de gestion établit une connexion SSH avec l’interface de gestion d’un commutateur pour gérer le commutateur à distance. L’adresse IP configurée pour l’interface de gestion est 10.204.33.103/20. Un filtre de pare-feu est configuré sur l’interface de gestion pour compter le nombre de paquets sortant d’un port SSH source sur l’interface de gestion. Lorsque le PC de gestion établit la session SSH avec l’interface de gestion, celle-ci renvoie des paquets SSH au PC de gestion pour confirmer que la session est établie. Ces paquets SSH sont filtrés en fonction de la condition de correspondance spécifiée dans le filtre du pare-feu avant d’être transférés au PC de gestion. Comme ces paquets sont générés à partir du port SSH source sur l’interface de gestion, ils remplissent la condition de correspondance spécifiée pour l’interface de gestion. Le nombre de paquets SSH correspondants indique le nombre de paquets qui ont traversé l’interface de gestion. Un administrateur système peut utiliser ces informations pour surveiller le trafic de gestion et prendre les mesures nécessaires.
Figure 1 montre la topologie de cet exemple dans laquelle un PC de gestion établit une connexion SSH avec le commutateur.
Configuration
Pour configurer un filtre de pare-feu sur une interface de gestion, effectuez les tâches suivantes :
Configuration rapide de l’interface de ligne de commande
Pour créer et configurer rapidement un filtre de pare-feu sur l’interface de gestion afin de filtrer les paquets SSH sortant de l’interface de gestion, copiez les commandes suivantes et collez-les dans la fenêtre du terminal de commutation :
[edit] set firewall family inet filter mgmt_fil1 term t1 from source-port ssh set firewall family inet filter mgmt_fil1 term t1 then count c1 set firewall family inet filter mgmt_fil1 term t2 then accept set interfaces me0 unit 0 family inet filter output mgmt_fil1
Procédure étape par étape
Pour configurer un filtre de pare-feu sur l’interface de gestion afin de filtrer les paquets SSH :
Configurez le filtre de pare-feu qui correspond aux paquets SSH du port source :
[edit] user@switch# set firewall family inet filter (Firewall Filters) mgmt_fil1 term t1 from source-port ssh user@switch# set firewall family inet filter mgmt_fil1 term t1 then count c1 user@switch# set firewall family inet filter mgmt_fil1 term t2 then accept
Ces instructions définissent un compteur c1 pour compter le nombre de paquets SSH qui sortent de l’interface SSH source sur l’interface de gestion.
Définissez le filtre de pare-feu pour l’interface de gestion :
[edit] user@switch# set interfaces me0 unit 0 family inet filter output mgmt_fil1
REMARQUE :Vous pouvez également définir le filtre de pare-feu d’une interface VME.
Résultats
Vérifiez les résultats de la configuration :
[edit]
user@switch# show
interfaces {
me0 {
unit 0 {
family inet {
filter {
output mgmt_fil1;
}
address 10.93.54.6/24;
}
}
}
}
firewall {
family inet {
filter mgmt_fil1{
term t1 {
from {
source-port ssh;
then count c1;
}
}
term t2 {
then accept;
}
}
}
}
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les opérations suivantes :
Vérification du paramétrage du filtre de pare-feu sur une interface de gestion
But
Vérifiez que le filtre de pare-feu a été activé sur l’interface de gestion du commutateur.
Action
Vérifiez que le filtre de pare-feu est appliqué à l’interface de gestion :
[edit] user@switch# show interfaces me0 unit 0 { family inet { filter { output mgmt_fil1; } address 10.204.33.103/20; } }Vérifiez la valeur du compteur associée au filtre du pare-feu :
user@switch> show firewall Filter: mgmt_fil1 Counters: Name Bytes Packets c1 0 0
À partir du PC de gestion, établissez une session Secure Shell avec le commutateur :
[user@management-pc ~]$ ssh user@10.204.33.103
Vérifiez les valeurs des compteurs après la génération de paquets SSH à partir du commutateur en réponse à la demande de session Secure Shell par le PC de gestion :
user@switch> show firewall Filter: mgmt_fil1 Counters: Name Bytes Packets c1 3533 23
Sens
La sortie indique que le filtre de pare-feu a été appliqué à l’interface de gestion et la valeur du compteur indique que 23 paquets SSH ont été générés à partir du commutateur.