Exemple : Imbrication de références à plusieurs filtres de pare-feu
Cet exemple montre comment configurer des références imbriquées à plusieurs filtres de pare-feu.
Conditions préalables
Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de configurer cet exemple.
Présentation
Dans cet exemple, vous configurez un filtre de pare-feu pour une combinaison de condition de correspondance et d’action qui peut être partagée entre plusieurs filtres de pare-feu. Vous configurez ensuite deux filtres de pare-feu qui référencent le premier filtre de pare-feu. Par la suite, si les critères de filtrage communs doivent être modifiés, vous ne modifierez que la configuration du filtre de pare-feu partagé.
Topologie
Le common_filter filtre de pare-feu ignore les paquets dont le numéro de champ de port source ou de destination UDP est .69 Les deux filtres filter1 de pare-feu supplémentaires et filter2, font référence au common_filterfichier .
Configuration
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utiliser l’éditeur CLI en mode configuration.
- Configuration rapide de l’interface de ligne de commande
- Configurer les filtres de pare-feu imbriqués
- Application des deux filtres de pare-feu imbriqués aux interfaces
- Confirmez et validez la configuration de votre candidat
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes dans un fichier texte, supprimez les sauts de ligne, puis collez-les dans l’interface de ligne de commande au niveau de la [edit] hiérarchie.
set firewall family inet filter common_filter term common_term from protocol udp set firewall family inet filter common_filter term common_term from port tftp set firewall family inet filter common_filter term common_term then discard set firewall family inet filter filter1 term term1 filter common_filter set firewall family inet filter filter1 term term2 from address 192.168.0.0/16 set firewall family inet filter filter1 term term2 then reject set firewall family inet filter filter2 term term1 filter common_filter set firewall family inet filter filter2 term term2 from protocol udp set firewall family inet filter filter2 term term2 from port bootps set firewall family inet filter filter2 term term2 then accept set interfaces ge-0/0/0 unit 0 family inet address 10.1.0.1/24 set interfaces ge-0/0/0 unit 0 family inet filter input filter1 set interfaces ge-0/0/3 unit 0 family inet address 10.1.3.1/24 set interfaces ge-0/0/3 unit 0 family inet filter input filter2
Configurer les filtres de pare-feu imbriqués
Procédure étape par étape
Pour configurer deux filtres de pare-feu imbriqués qui partagent un filtre commun :
Naviguez dans la CLI jusqu’au niveau hiérarchique auquel vous configurez les filtres de pare-feu IPv4.
[edit] user@host# edit firewall family inet
Configurez le filtre commun qui sera référencé par plusieurs autres filtres.
[edit firewall family inet] user@host# set filter common_filter term common_term from protocol udp user@host# set filter common_filter term common_term from port tftp user@host# set filter common_filter term common_term then discard
Configurez un filtre qui fait référence au filtre commun.
[edit firewall family inet] user@host# set filter filter1 term term1 filter common_filter user@host# set filter filter1 term term2 from address 192.168.0.0/16 user@host# set filter filter1 term term2 then reject
Configurez un deuxième filtre qui fait référence au filtre commun.
[edit firewall family inet] user@host# set filter filter2 term term1 filter common_filter user@host# set filter filter2 term term2 from protocol udp user@host# set filter filter2 term term2 from port bootps user@host# set filter filter2 term term2 then accept
Application des deux filtres de pare-feu imbriqués aux interfaces
Procédure étape par étape
Pour appliquer les deux filtres de pare-feu imbriqués aux interfaces logiques, procédez comme suit :
Appliquez le premier filtre imbriqué à une entrée d’interface logique.
[edit] user@host# set interfaces ge-0/0/0 unit 0 family inet address 10.1.0.1/24 user@host# set interfaces ge-0/0/0 unit 0 family inet filter input filter1
Appliquez le deuxième filtre imbriqué à une entrée d’interface logique.
[edit] user@host# set interfaces ge-0/0/3 unit 0 family inet address 10.1.3.1/24 user@host# set interfaces ge-0/0/3 unit 0 family inet filter input filter2
Confirmez et validez la configuration de votre candidat
Procédure étape par étape
Pour confirmer, puis valider la configuration de votre candidat :
Confirmez la configuration du filtre de pare-feu en entrant la
show firewallcommande configuration mode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.[edit] user@host# show firewall family inet { filter common_filter { term common_term { from { protocol udp; port tftp; } then { discard; } } } filter filter1 { term term1 { filter common_filter; } term term2 { from { address 192.168/16; } then { reject; } } } filter filter2 { term term1 { filter common_filter; } term term2 { from { protocol udp; port bootps; } then { accept; } } } }Confirmez la configuration de l’interface en entrant la commande configuration
show interfacesmode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.[edit] user@host# show interfaces ge-0/0/0 { unit 0 { family inet { filter { input filter1; } address 10.1.0.1/24; } } } ge-0/0/3 { unit 0 { family inet { filter { input filter2; } address 10.1.3.1/24; } } }Si vous avez terminé de configurer l’appareil, validez votre configuration candidate.
[edit] user@host# commit
Vérification
Pour vérifier que la configuration fonctionne correctement, entrez les commandes et show firewall filter filter1show firewall filter filter2 en mode opérationnel.