Exemple : Application de listes de filtres de pare-feu multiples
Cet exemple montre comment appliquer des listes de plusieurs filtres de pare-feu.
Conditions préalables
Avant de commencer, assurez-vous d’avoir :
-
Installez votre routeur ou commutateur, et prenez en charge le PIC, le DPC ou le MPC - effectué, puis effectuez la configuration initiale du routeur ou du commutateur - effectué.
-
Configuration de l’Ethernet de base dans la topologie - effectué.
-
Configurez une interface logique pour exécuter le protocole IP version 4 (IPv4) (
family inet) et configurez l’interface logique avec une adresse d’interface - effectué. Cet exemple utilise une interfacege-1/3/0.0logique configurée avec l’adresse IP 172.16.1.2/30.REMARQUE :Par souci d’exhaustivité, la section de configuration de cet exemple inclut la définition d’une adresse IP pour l’interface
ge-1/3/0.0logique . -
Vérifiez que le trafic circule dans la topologie et que le trafic IPv4 entrant et sortant transite par l’interface
ge-1/3/0.0logique - effectué. -
Vérifiez que vous avez accès à l’hôte distant connecté à l’interface
ge-1/3/0.0logique de ce routeur ou commutateur .
Les mécanismes de contrôle/filtres d’interface physique ne sont pas pris en charge pour les filtres de liste.
Présentation
Dans cet exemple, vous configurez trois filtres de pare-feu IPv4 et appliquez chaque filtre directement à la même interface logique à l’aide d’une liste.
Topologie
Cet exemple applique les filtres de pare-feu suivants sous la forme d’une liste de filtres d’entrée au niveau de l’interfacege-1/3/0.0logique . Chaque filtre contient un terme unique qui évalue les paquets IPv4 et accepte les paquets en fonction de la valeur du champ dans l’en-tête destination port TCP :
Filtrez
filter_FTPles correspondances sur le numéro de port FTP (21).Le filtre
filter_SSHcorrespond au numéro de port SSH (22).Le filtre
filter_Telnetcorrespond au numéro de port Telnet (23).
Si un paquet entrant ne correspond à aucun des filtres de la liste d’entrée, il est ignoré.
Junos OS utilise des filtres dans une liste dans l’ordre dans lequel les noms de filtre apparaissent dans la liste. Dans cet exemple simple, l’ordre n’est pas pertinent car tous les filtres spécifient la même action.
N’importe lequel des filtres peut être appliqué à d’autres interfaces, soit seul (à l’aide de l’instruction or), soit en combinaison avec d’autres filtres (à l’aide de l’instruction inputinput-list or outputoutput-list). L’objectif est de configurer plusieurs filtres de pare-feu « minimalistes » que vous pouvez réutiliser dans des listes de filtres spécifiques à l’interface.
Configuration
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utiliser l’éditeur CLI en mode configuration.
- Configuration rapide de l’interface de ligne de commande
- Configurer plusieurs filtres de pare-feu IPv4
- Appliquer les filtres à une interface logique sous forme de liste d’entrée et de liste de sortie
- Confirmez et validez la configuration de votre candidat
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes dans un fichier texte, supprimez les sauts de ligne, puis collez-les dans l’interface de ligne de commande au niveau de la [edit] hiérarchie.
set firewall family inet filter filter_FTP term 0 from protocol tcp set firewall family inet filter filter_FTP term 0 from destination-port 21 set firewall family inet filter filter_FTP term 0 then count pkts_FTP set firewall family inet filter filter_FTP term 0 then accept set firewall family inet filter filter_SSH term 0 from protocol tcp set firewall family inet filter filter_SSH term 0 from destination-port 22 set firewall family inet filter filter_SSH term 0 then count pkts_SSH set firewall family inet filter filter_SSH term 0 then accept set firewall family inet filter filter_Telnet term 0 from protocol tcp set firewall family inet filter filter_Telnet term 0 from destination-port 23 set firewall family inet filter filter_Telnet term 0 then count pkts_Telnet set firewall family inet filter filter_Telnet term 0 then accept set firewall family inet filter filter_discard term 1 then count pkts_discarded set firewall family inet filter filter_discard term 1 then discard set interfaces ge-1/3/0 unit 0 family inet address 172.16.1.2/30 set interfaces ge-1/3/0 unit 0 family inet filter input-list filter_FTP set interfaces ge-1/3/0 unit 0 family inet filter input-list filter_SSH set interfaces ge-1/3/0 unit 0 family inet filter input-list filter_Telnet set interfaces ge-1/3/0 unit 0 family inet filter input-list filter_discard
Configurer plusieurs filtres de pare-feu IPv4
Procédure étape par étape
Pour configurer les filtres du pare-feu IPv4 :
Naviguez dans la CLI jusqu’au niveau hiérarchique auquel vous configurez les filtres de pare-feu IPv4.
[edit] user@host# edit firewall family inet
Configurez le premier filtre de pare-feu pour qu’il compte et accepte les paquets sur le port 21.
[edit firewall family inet] user@host# set filter filter_FTP term 0 from protocol tcp user@host# set filter filter_FTP term 0 from destination-port 21 user@host# set filter filter_FTP term 0 then count pkts_FTP user@host# set filter filter_FTP term 0 then accept
Configurez le deuxième filtre de pare-feu pour qu’il compte et accepte les paquets sur le port 22.
[edit firewall family inet] user@host# set filter filter_SSH term 0 from protocol tcp user@host# set filter filter_SSH term 0 from destination-port 22 user@host# set filter filter_SSH term 0 then count pkt_SSH user@host# set filter filter_SSH term 0 then accept
Configurez le troisième filtre de pare-feu pour qu’il compte et accepte les paquets provenant du port 23.
[edit firewall family inet] user@host# set filter filter_Telnet term 0 from protocol tcp user@host# set filter filter_Telnet term 0 from destination-port 23 user@host# set filter filter_Telnet term 0 then count pkts_Telnet user@host# set filter filter_Telnet term 0 then accept
Configurez le dernier filtre de pare-feu pour qu’il compte les paquets ignorés.
[edit firewall family inet] user@host# set filter filter_discard term 1 then count pkts_discarded user@host# set filter filter_discard term 1 then discard
Appliquer les filtres à une interface logique sous forme de liste d’entrée et de liste de sortie
Procédure étape par étape
Pour appliquer les six filtres de pare-feu IPv4 sous la forme d’une liste de filtres d’entrée et d’une liste de filtres de sortie :
Naviguez dans la CLI jusqu’au niveau hiérarchique auquel vous appliquez les filtres de pare-feu IPv4 à l’interface
ge-1/3/0.0logique .[edit] user@host# edit interfaces ge-1/3/0 unit 0 family inet
Configurez la famille de protocoles IPv4 pour l’interface logique.
[edit interfaces ge-1/3/0 unit 0 family inet] user@host# set address 172.16.1.2/30
Appliquez les filtres sous la forme d’une liste de filtres d’entrée.
[edit interfaces ge-1/3/0 unit 0 family inet] user@host# set filter input-list [ filter_FTP filter_SSH filter_Telnet filter_discard ]
Confirmez et validez la configuration de votre candidat
Procédure étape par étape
Pour confirmer, puis valider la configuration de votre candidat :
Confirmez la configuration des filtres de pare-feu en entrant la commande configuration
show firewallmode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.[edit] user@host# show firewall family inet { filter filter_FTP { term 0 { from { protocol tcp; destination-port 21; } then { count pkts_FTP; accept; } } } filter filter_SSH { term 0 { from { protocol tcp; destination-port 22; } then { count pkts_SSH; accept; } } } filter filter_Telnet { term 0 { from { protocol tcp; destination-port 23; } then { count pkts_Telnet; accept; } } } filter filter_discard { term 1 { then { count pkts_discarded; discard; } } } }Confirmez la configuration de l’interface en entrant la commande configuration
show interfacesmode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.[edit] user@host# show interfaces ge-1/3/0 { unit 0 { family inet { filter { input-list [ filter_FTP filter_SSH filter_Telnet filter_discard ]; } address 172.16.1.2/30; } } }Si vous avez terminé de configurer l’appareil, validez votre configuration candidate.
[edit] user@host# commit
Vérification
Vérifiez que la configuration fonctionne correctement.
Vérification que les paquets entrants ne sont acceptés que s’ils sont destinés au port FTP, SSH ou Telnet
But
Vérifiez que les trois filtres sont actifs pour l’interface logique.
Action
Pour vérifier que les paquets d’entrée sont acceptés en fonction des trois filtres :
À partir de l’hôte distant connecté à l’interface
ge-1/3/0.0logique de ce routeur (ou commutateur), envoyez un paquet dont le port de destination figure 21 dans l’en-tête. Le paquet doit être accepté.À partir de l’hôte distant connecté à l’interface
ge-1/3/0.0logique de ce routeur (ou commutateur), envoyez un paquet dont l’en-tête contient le port de destination 22. Le paquet doit être accepté.À partir de l’hôte distant connecté à l’interface
ge-1/3/0.0logique de ce routeur (ou commutateur), envoyez un paquet dont le port de destination figure 23 dans l’en-tête. Le paquet doit être accepté.À partir de l’hôte distant connecté à l’interface
ge-1/3/0.0logique de ce routeur (ou commutateur), envoyez un paquet avec un numéro de port de destination autre que 21, 22 ou 23. Le paquet doit être jeté.-
Pour afficher les informations du compteur pour la liste des filtres appliqués à l’entrée à
ge-1/3/0.0, entrez lashow firewall filter ge-1/3/0.0-inet-icommande mode opérationnel. La sortie de la commande affiche le nombre d’octets et de paquets qui correspondent aux termes de filtre associés aux compteurs suivants :-
pkts_FTP-ge-1/3/0.0-inet-i -
pkts_SSH-ge-1/3/0.0-inet-i -
pkts_Telnet-ge-1/3/0.0-inet-i -
pkts_discard-ge-1/3/0.0-inet-i
-