Exemple: Références d’nesting à plusieurs filtres de pare-feu
Cet exemple montre comment configurer les références imbrmbrées vers plusieurs filtres de pare-feu.
Conditions préalables
Aucune configuration particulière au-delà de l’initialisation de l’équipement n’est requise avant de configurer cet exemple.
Présentation
Dans cet exemple, vous configurez un filtre de pare-feu pour une condition de correspondance et une combinaison d’action qui peuvent être partagées entre plusieurs filtres de pare-feu. Vous configurez ensuite deux filtres de pare-feu qui font référence au premier filtre de pare-feu. Par la suite, si les critères de filtrage communs deaient être modifiés, vous ne modifieriez que la configuration d’un filtre de pare-feu partagé.
Topologie
Le common_filter filtre de pare-feu rejette les paquets dont le champ de destination ou la source UDP est de 69 . Les deux filtres de pare-feu supplémentaires, filter1 et filter2 , référencent le common_filter .
Configuration
L’exemple suivant vous oblige à naviguer dans différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la CLI, consultez Utilisation du CLI éditeur dans le mode configuration .
- CLI configuration rapide
- Configurer les filtres de pare-feu imbrmbrés
- Appliquer les deux filtres de pare-feu imbrmbrés aux interfaces
- Confirmer et valider la configuration de votre candidat
CLI configuration rapide
Pour configurer rapidement cet exemple, copiez les commandes suivantes dans un fichier texte, supprimez les interruptions de ligne, puis collez les commandes dans le CLI au niveau de [edit] la hiérarchie.
set firewall family inet filter common_filter term common_term from protocol udp set firewall family inet filter common_filter term common_term from port tftp set firewall family inet filter common_filter term common_term then discard set firewall family inet filter filter1 term term1 filter common-filter set firewall family inet filter filter1 term term2 from address 192.168.0.0/16 set firewall family inet filter filter1 term term2 then reject set firewall family inet filter filter2 term term1 filter common-filter set firewall family inet filter filter2 term term2 from protocol udp set firewall family inet filter filter2 term term2 from port bootps set firewall family inet filter filter2 term term2 then accept set interfaces ge-0/0/0 unit 0 family inet address 10.1.0.1/24 set interfaces ge-0/0/0 unit 0 family inet filter input filter1 set interfaces ge-0/0/3 unit 0 family inet address 10.1.3.1/24 set interfaces ge-0/0/0 unit 0 family inet filter input filter2
Configurer les filtres de pare-feu imbrmbrés
Procédure étape par étape
Pour configurer deux filtres de pare-feu imbrmbrés qui partagent un filtre commun:
Accédez CLI au niveau hiérarchique auquel vous configurez les filtres de pare-feu IPv4.
[edit] user@host# edit firewall family inet
Configurez le filtre commun qui sera référencé par plusieurs autres filtres.
[edit firewall family inet] user@host# set filter common_filter term common_term from protocol udp user@host# set filter common_filter term common_term from port tftp user@host# set filter common_filter term common_term then discard
Configurez un filtre qui fait référence au filtre commun.
[edit firewall family inet] user@host# set filter filter1 term term1 filter common-filter user@host# set filter filter1 term term2 from address 192.168.0.0/16 user@host# set filter filter1 term term2 then reject
Configurez un deuxième filtre qui fait référence au filtre commun.
[edit firewall family inet] user@host# set filter filter2 term term1 filter common-filter user@host# set filter filter2 term term2 from protocol udp user@host# set filter filter2 term term2 from port bootps user@host# set filter filter2 term term2 then accept
Appliquer les deux filtres de pare-feu imbrmbrés aux interfaces
Procédure étape par étape
Pour appliquer les deux filtres de pare-feu imbrmbrés aux interfaces logiques:
Appliquez le premier filtre imbrmbré à une entrée d’interface logique.
[edit] user@host# set interfaces ge-0/0/0 unit 0 family inet address 10.1.0.1/24 user@host# set interfaces ge-0/0/0 unit 0 family inet filter input filter1
Appliquez le deuxième filtre imbrmbré à une entrée d’interface logique.
[edit] user@host# set interfaces ge-0/0/3 unit 0 family inet address 10.1.3.1/24 user@host# set interfaces ge-0/0/0 unit 0 family inet filter input filter2
Confirmer et valider la configuration de votre candidat
Procédure étape par étape
Pour confirmer et valider la configuration de votre candidat:
Confirmez la configuration du filtre de pare-feu en entrant la
show firewallcommande du mode de configuration. Si le résultat de la commande n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.[edit] user@host# show firewall family inet { filter common_filter { term common_term { from { protocol udp; port tftp; } then { discard; } } } filter filter1 { term term1 { filter common-filter; } term term2 { from { address 192.168/16; } then { reject; } } } filter filter2 { term term1 { filter common-filter; } term term2 { from { protocol udp; port bootps; } then { accept; } } } }Confirmez la configuration de l’interface en entrant la commande
show interfacesmode de configuration. Si le résultat de la commande n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.[edit] user@host# show interfaces ge-0/0/0 { unit 0 { family inet { filter { input filter1; } address 10.1.0.1/24; } } } ge-0/0/3 { unit 0 { family inet { filter { input filter2; } address 10.1.3.1/24; } } }Si vous avez terminé la configuration de l’équipement, validation de la configuration de votre candidat.
[edit] user@host# commit
Vérification
Pour vérifier que la configuration fonctionne correctement, saisissez les commandes du show firewall filter filter1show firewall filter filter2 mode opérationnel.