Exemple : Configuration de la journalisation pour un terme de filtre de pare-feu
Cet exemple montre comment configurer un filtre de pare-feu pour consigner les en-têtes de paquets.
Conditions préalables
Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de configurer cet exemple.
Présentation
Dans cet exemple, vous utilisez un filtre de pare-feu qui consigne et compte les paquets ICMP dont la source ou la destination est 192.168.207.222 la source.
Configuration
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utiliser l’éditeur CLI en mode configuration.
Pour configurer cet exemple, effectuez les tâches suivantes :
- Configuration rapide de l’interface de ligne de commande
- Configurer le fichier de messages syslog pour la fonction de pare-feu
- Configurer le filtre de pare-feu
- Application du filtre de pare-feu à une interface logique
- Confirmez et validez la configuration de votre candidat
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes de configuration suivantes dans un fichier texte, supprimez les sauts de ligne, puis collez-les dans l’interface de ligne de commande au niveau de la [edit] hiérarchie.
set system syslog file messages_firewall_any firewall any set system syslog file messages_firewall_any archive no-world-readable set firewall family inet filter icmp_syslog term icmp_match from address 192.168.207.222/32 set firewall family inet filter icmp_syslog term icmp_match from protocol icmp set firewall family inet filter icmp_syslog term icmp_match then count packets set firewall family inet filter icmp_syslog term icmp_match then syslog set firewall family inet filter icmp_syslog term icmp_match then accept set firewall family inet filter icmp_syslog term default_term then accept set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30 set interfaces ge-0/0/1 unit 0 family inet filter input icmp_syslog
Configurer le fichier de messages syslog pour la fonction de pare-feu
Procédure étape par étape
Pour configurer un fichier de messages syslog pour l’installation firewall :
Configurez un fichier de messages pour tous les messages syslog générés pour l’installation
firewall.user@host# set system syslog file messages_firewall_any firewall any
Limitez l’autorisation d’accès aux fichiers syslog de l’installation archivés à l’utilisateur racine et aux utilisateurs disposant de l’autorisation de
firewallmaintenance Junos OS.user@host# set system syslog file messages_firewall_any archive no-world-readable
Configurer le filtre de pare-feu
Procédure étape par étape
Pour configurer le filtre icmp_syslog de pare-feu qui journalise et compte les paquets ICMP dont la source ou la destination est 192.168.207.222 :
Créez le filtre
icmp_syslogde pare-feu .[edit] user@host# edit firewall family inet filter icmp_syslog
Configurez la correspondance sur le protocole ICMP et une adresse.
[edit firewall family inet filter icmp_syslog] user@host# set term icmp_match from address 192.168.207.222/32 user@host# set term icmp_match from protocol icmp
Comptez, enregistrez et acceptez les paquets correspondants.
[edit firewall family inet filter icmp_syslog] user@host# set term icmp_match then count packets user@host# set term icmp_match then syslog user@host# set term icmp_match then accept
Acceptez tous les autres paquets.
[edit firewall family inet filter icmp_syslog] user@host# set term default_term then accept
Application du filtre de pare-feu à une interface logique
Procédure étape par étape
Pour appliquer le filtre de pare-feu à une interface logique :
Configurez l’interface logique à laquelle vous allez appliquer le filtre de pare-feu.
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
Configurez l’adresse de l’interface logique.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
Appliquez le filtre de pare-feu à l’interface logique.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input icmp_syslog
Confirmez et validez la configuration de votre candidat
Procédure étape par étape
Pour confirmer, puis valider la configuration de votre candidat :
Confirmez la configuration du fichier de message syslog de la fonction en entrant la
firewallcommande configurationshow systemmode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.[edit] user@host# show system syslog { file messages_firewall_any { firewall any; archive no-world-readable; } }Confirmez la configuration du filtre de pare-feu en entrant la
show firewallcommande configuration mode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.[edit] user@host# show firewall family inet { filter icmp_syslog { term icmp_match { from { address { 192.168.207.222/32; } protocol icmp; } then { count packets; syslog; accept; } } term default_term { then accept; } } }Confirmez la configuration de l’interface en entrant la commande configuration
show interfacesmode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { filter { input icmp_syslog; } address 10.1.2.3/30; } } }Si vous avez terminé de configurer l’appareil, validez votre configuration candidate.
[edit] user@host# commit
Vérification
Pour vérifier que la configuration fonctionne correctement, entrez la show log filter commande :
user@host> show log messages_firewall_any Mar 20 08:03:11 hostname feb FW: so-0/1/0.0 A icmp 192.168.207.222 192.168.207.223 0 0 (1 packets)
Ce fichier de sortie contient les champs suivants :
Date and Time: date et heure auxquelles le paquet a été reçu (non affichées par défaut).Action de filtre :
A—Accepter (ou au terme suivant)D—JeterR—Rejeter
Protocol: nom ou numéro de protocole du paquet.Source address: adresse IP source dans le paquet.Destination address: adresse IP de destination dans le paquet.REMARQUE :Si le protocole est ICMP, le type et le code ICMP s’affichent. Pour tous les autres protocoles, les ports source et de destination sont affichés.
Les deux derniers champs (tous deux zéro) sont les ports TCP/UDP source et de destination, respectivement, et ne sont affichés que pour les paquets TCP ou UDP. Ce message de journal indique qu’un seul paquet pour cette correspondance a été détecté dans un intervalle d’environ 1 seconde. Si les paquets arrivent plus rapidement, la fonction de journal système compresse les informations afin de générer moins de sortie et affiche une sortie similaire à la suivante :
user@host> show log messages_firewall_any Mar 20 08:08:45 hostname feb FW: so-0/1/0.0 A icmp 192.168.207.222 192.168.207.223 0 0 (515 packets)