Exemple : Références d’imbrication à plusieurs filtres de pare-feu
Cet exemple montre comment configurer les références imbriquées à plusieurs filtres de pare-feu.
Conditions préalables
Aucune configuration particulière au-delà de l’initialisation de l’équipement n’est requise avant de configurer cet exemple.
Présentation
Dans cet exemple, vous configurez un filtre de pare-feu pour une condition de correspondance et une combinaison d’actions pouvant être partagée entre plusieurs filtres de pare-feu. Vous configurez ensuite deux filtres de pare-feu qui renvoient au premier filtre de pare-feu. Plus tard, si les critères de filtrage courants doivent être modifiés, vous modifierez uniquement la configuration d’un filtre de pare-feu partagé.
Topologie
Le common_filter filtre de pare-feu rejette les paquets qui ont un numéro de champ source ou de port de destination UDP de 69. Les deux filtres filter1 de pare-feu supplémentaires, et filter2, référencez le common_filter.
Configuration
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous Utiliser l’éditeur CLI en mode configurationà .
- Configuration rapide CLI
- Configuration des filtres de pare-feu imbriqués
- Appliquer les deux filtres de pare-feu imbriqués aux interfaces
- Confirmer et valider votre configuration de candidat
Configuration rapide CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes dans un fichier texte, supprimez les sauts de ligne, puis collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie.
set firewall family inet filter common_filter term common_term from protocol udp set firewall family inet filter common_filter term common_term from port tftp set firewall family inet filter common_filter term common_term then discard set firewall family inet filter filter1 term term1 filter common-filter set firewall family inet filter filter1 term term2 from address 192.168.0.0/16 set firewall family inet filter filter1 term term2 then reject set firewall family inet filter filter2 term term1 filter common-filter set firewall family inet filter filter2 term term2 from protocol udp set firewall family inet filter filter2 term term2 from port bootps set firewall family inet filter filter2 term term2 then accept set interfaces ge-0/0/0 unit 0 family inet address 10.1.0.1/24 set interfaces ge-0/0/0 unit 0 family inet filter input filter1 set interfaces ge-0/0/3 unit 0 family inet address 10.1.3.1/24 set interfaces ge-0/0/3 unit 0 family inet filter input filter2
Configuration des filtres de pare-feu imbriqués
Procédure étape par étape
Pour configurer deux filtres de pare-feu imbriqués qui partagent un filtre commun :
Accédez à l’interface CLI jusqu’au niveau hiérarchique auquel vous configurez les filtres de pare-feu IPv4.
[edit] user@host# edit firewall family inet
Configurez le filtre commun qui sera référencé par plusieurs autres filtres.
[edit firewall family inet] user@host# set filter common_filter term common_term from protocol udp user@host# set filter common_filter term common_term from port tftp user@host# set filter common_filter term common_term then discard
Configurez un filtre faisant référence au filtre commun.
[edit firewall family inet] user@host# set filter filter1 term term1 filter common-filter user@host# set filter filter1 term term2 from address 192.168.0.0/16 user@host# set filter filter1 term term2 then reject
Configurez un deuxième filtre faisant référence au filtre commun.
[edit firewall family inet] user@host# set filter filter2 term term1 filter common-filter user@host# set filter filter2 term term2 from protocol udp user@host# set filter filter2 term term2 from port bootps user@host# set filter filter2 term term2 then accept
Appliquer les deux filtres de pare-feu imbriqués aux interfaces
Procédure étape par étape
Pour appliquer les deux filtres de pare-feu imbriqués aux interfaces logiques :
Appliquez le premier filtre imbriqué à une entrée d’interface logique.
[edit] user@host# set interfaces ge-0/0/0 unit 0 family inet address 10.1.0.1/24 user@host# set interfaces ge-0/0/0 unit 0 family inet filter input filter1
Appliquez le deuxième filtre imbriqué à une entrée d’interface logique.
[edit] user@host# set interfaces ge-0/0/3 unit 0 family inet address 10.1.3.1/24 user@host# set interfaces ge-0/0/3 unit 0 family inet filter input filter2
Confirmer et valider votre configuration de candidat
Procédure étape par étape
Pour confirmer et valider la configuration de votre candidat :
Confirmez la configuration du filtre de pare-feu en entrant la
show firewallcommande configuration mode. Si la sortie de commande n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.[edit] user@host# show firewall family inet { filter common_filter { term common_term { from { protocol udp; port tftp; } then { discard; } } } filter filter1 { term term1 { filter common-filter; } term term2 { from { address 192.168/16; } then { reject; } } } filter filter2 { term term1 { filter common-filter; } term term2 { from { protocol udp; port bootps; } then { accept; } } } }Confirmez la configuration de l’interface en entrant la commande configuration
show interfacesmode. Si la sortie de commande n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.[edit] user@host# show interfaces ge-0/0/0 { unit 0 { family inet { filter { input filter1; } address 10.1.0.1/24; } } } ge-0/0/3 { unit 0 { family inet { filter { input filter2; } address 10.1.3.1/24; } } }Si vous avez terminé la configuration de l’équipement, validez votre configuration de candidature.
[edit] user@host# commit
Vérification
Pour confirmer que la configuration fonctionne correctement, saisissez les commandes et show firewall filter filter2 le show firewall filter filter1 mode opérationnel.