Exemple : Configuration d’un filtre de pare-feu sans état sur un groupe d’interfaces
Les filtres de pare-feu sont essentiels pour sécuriser un réseau et simplifier sa gestion. Sous Junos OS, vous pouvez configurer des filtres de pare-feu sans état pour contrôler le transit des paquets de données à travers le système et manipuler les paquets si nécessaire. L’application d’un filtre de pare-feu sans état à un groupe d’interfaces permet de filtrer les paquets transitant par chaque interface du groupe d’interfaces. Cet exemple montre comment configurer un filtre de pare-feu sans état standard pour faire correspondre les paquets balisés pour un groupe d’interfaces particulier.
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
Deux routeurs ou commutateurs Juniper Networks quelconques connectés physiquement ou logiquement l’un à l’autre via des interfaces appartenant à une instance de routage
Junos OS version 7.4 ou ultérieure
Présentation
Vous pouvez appliquer un filtre de pare-feu sans état à un groupe d’interfaces pour l’appliquer à toutes les interfaces du groupe d’interfaces. Cela vous aide à gérer le filtrage de paquets sur différentes interfaces simultanément.
Dans cet exemple, vous configurez deux interfaces de routeur ou de commutateur pour qu’elles appartiennent au groupe d’interfaces. Vous pouvez également configurer un filtre de pare-feu sans état avec trois termes. En termes term1
, le filtre correspond aux paquets qui ont été marqués comme reçus sur ce groupe d’interfaces et qui contiennent une balise de protocole ICMP. Le filtre compte, consigne et rejette les paquets qui correspondent aux conditions. En termes term2
, le filtre correspond aux paquets qui contiennent la balise de protocole ICMP. Le filtre compte, consigne et accepte tous les paquets qui correspondent à la condition. En terme term3
, le filtre compte tous les paquets de transit.
En appliquant le filtre de pare-feu à l’instance de routage, vous pouvez appliquer simultanément le mécanisme de filtrage sur toutes les interfaces du groupe d’interfaces. Pour que cela se produise, toutes les interfaces du groupe d’interfaces doivent appartenir à une seule instance de routage.
Lorsque vous appliquez un filtre de pare-feu à une interface de bouclage, l’interface filtre tous les paquets destinés au moteur de routage.
La configuration rapide de l’interface de ligne de commande affiche la configuration de tous les périphériques dans Figure 1. La section Procédure étape par étape décrit les étapes sur l’appareil R1.
Configuration
- Configuration rapide de l’interface de ligne de commande
- Configurer et appliquer le filtre de pare-feu sans état sur un groupe d’interfaces
- Résultats
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit
en mode de configuration.
Appareil R0
set interfaces ge-0/0/0 unit 0 family inet address 172.16.17.1/30 set interfaces ge-0/0/1 unit 0 family inet address 172.16.19.1/30 set interfaces ge-0/0/2 unit 0 family inet address 20.1.1.1/30 set interfaces lo0 unit 0 family inet address 10.0.0.1/32
Appareil R1
set firewall family inet filter filter_if_group term term1 from interface-group 1 set firewall family inet filter filter_if_group term term1 from protocol icmp set firewall family inet filter filter_if_group term term1 then count if_group_counter1 set firewall family inet filter filter_if_group term term1 then log set firewall family inet filter filter_if_group term term1 then reject set firewall family inet filter filter_if_group term term2 from protocol icmp set firewall family inet filter filter_if_group term term2 then count if_group_counter2 set firewall family inet filter filter_if_group term term2 then log set firewall family inet filter filter_if_group term term2 then accept set firewall family inet filter filter_if_group term term3 then count default set interfaces ge-0/0/0 unit 0 family inet filter group 1 set interfaces ge-0/0/0 unit 0 family inet address 172.16.17.2/30 set interfaces ge-0/0/1 unit 0 family inet address 172.16.19.2/30 set interfaces ge-0/0/2 unit 0 family inet filter group 1 set interfaces ge-0/0/2 unit 0 family inet address 20.1.1.2/30 set interfaces lo0 unit 0 family inet address 20.0.0.1/32 set forwarding-options family inet filter input filter_if_group
Configurer et appliquer le filtre de pare-feu sans état sur un groupe d’interfaces
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans la CLI, reportez-vous Utiliser l’éditeur CLI en mode configuration au Guide de l’utilisateur de la CLI.
Pour configurer le filtre filter_if_group
de pare-feu sans état sur un groupe d’interfaces :
Créez le filtre
filter_if_group
de pare-feu sans état .[edit firewall] user@R1# edit family inet filter filter_if_group
Configurez les interfaces et affectez deux interfaces au groupe
1
d’interfaces .[edit interfaces] user@R1# set ge-0/0/0 unit 0 family inet filter group 1 user@R1# set ge-0/0/0 unit 0 family inet address 172.16.17.2/30 user@R1# set ge 0/0/1 unit 0 family inet address 172.16.19.2/30 user@R1# set ge-0/0/2 unit 0 family inet filter group 1 user@R1# set ge-0/0/2 unit 0 family inet address 20.1.1.2/30 user@R1# set lo0 unit 0 family inet address 20.0.0.1/32
Configurez term
term1
pour qu’il corresponde aux paquets reçus sur le groupe1
d’interfaces et avec le protocole ICMP.[edit firewall] user@R1# set family inet filter filter_if_group term term1 from interface-group 1 user@R1# set family inet filter filter_if_group term term1 from protocol icmp
Configurez term
term1
pour compter, consigner et rejeter tous les paquets correspondants.[edit firewall] user@R1# set family inet filter filter_if_group term term1 then count if_group_counter1 user@R1# set family inet filter filter_if_group term term1 then log user@R1# set family inet filter filter_if_group term term1 then reject
Configurez term
term2
pour faire correspondre les paquets avec le protocole ICMP.[edit firewall] user@R1# set family inet filter filter_if_group term term2 from protocol icmp
Configurez term
term2
pour compter, consigner et accepter tous les paquets correspondants.[edit firewall] user@R1# set family inet filter filter_if_group term term2 then count if_group_counter2 user@R1# set family inet filter filter_if_group term term2 then log user@R1# set family inet filter filter_if_group term term2 then accept
Configurez term
term3
pour compter tous les paquets de transit.[edit firewall] user@R1# set family inet filter filter_if_group term term3 then count default
Appliquez le filtre de pare-feu au groupe d’interfaces du routeur (ou du commutateur) en l’appliquant à l’instance de routage.
[edit] user@R1# set forwarding-options family inet filter input filter_if_group
Si vous avez terminé de configurer l’appareil, validez votre configuration candidate.
[edit] user@host# commit
Résultats
À partir du mode de configuration, confirmez votre configuration en exécutant les show interfaces
commandes , show firewall
et show forwarding-options
. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
[edit] user@R1# show interfaces ge-0/0/0 { unit 0 { family inet { filter { group 1; } address 172.16.17.2/30; } } } ge-0/0/1 { unit 0 { family inet { address 172.16.19.2/30; } } } ge-0/0/2 { unit 0 { family inet { filter { group 1; } address 20.1.1.2/30; } } } lo0 { unit 0 { family inet { address 20.0.0.1/32; } } }
[edit] user@R1# show firewall family inet { filter filter_if_group { term term1 { from { interface-group 1; protocol icmp; } then { count if_group_counter1; log; reject; } } term term2 { from { protocol icmp; } then { count if_group_counter2; log; accept; } } term term3 { then count default; } } }
[edit] user@R1# show forwarding-options family inet { filter { input filter_if_group; } }
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification de la configuration des interfaces
- Vérification de la configuration du filtre de pare-feu sans état
Vérification de la configuration des interfaces
But
Vérifiez que les interfaces sont correctement configurées.
Action
Pour afficher l’état des interfaces, utilisez la show interfaces terse
commande mode opérationnel.
Appareil R0
user@R0> show interfaces terse Interface Admin Link Proto Local Remote ge-0/0/0 up up ge-0/0/0.0 up up inet 172.16.17.1/30 multiservice ge-0/0/1 up up ge-0/0/1.0 up up inet 172.16.19.1/30 multiservice ge-0/0/2 up up ge-0/0/2.0 up up inet 20.1.1.1/30 multiservice lo0 up up lo0.0 up up inet 10.0.0.1 --> 0/0
Appareil R1
user@R1> show interfaces terse Interface Admin Link Proto Local Remote ge-0/0/0 up up ge-0/0/0.0 up up inet 172.16.17.2/30 multiservice ... ge-0/0/1 up up ge-0/0/1.0 up up inet 172.16.19.2/30 multiservice ge-0/0/2 up up ge-0/0/2.0 up up inet 20.1.1.2/30 multiservice ...
Sens
Toutes les interfaces des appareils R0 et R1 sont physiquement connectées et actives. Le groupe 1
d’interfaces de l’appareil R1 se compose de deux interfaces, à savoir ge-0/0/0.0 et ge-0/0/2.0.
Vérification de la configuration du filtre de pare-feu sans état
But
Vérifiez que les conditions de correspondance du filtre de pare-feu sont correctement configurées.
Action
Pour afficher les compteurs de filtres du pare-feu, entrez la commande mode
show firewall filter filter_if_group
opérationnel.user@R1> show firewall filter filter_if_group Filter: filter_if_group Counters: Name Bytes Packets default 192975 3396 if_group_counter1 2520 30 if_group_counter2 2604 41
Pour afficher le journal local des en-têtes de paquets pour les paquets évalués par le filtre de pare-feu, entrez la
show firewall log
commande mode opérationnel.user@R1> show firewall log Log : Time Filter Action Interface Protocol Src Addr Dest Addr 22:27:33 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:33 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:32 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:32 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:31 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:31 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:30 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:30 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:29 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:29 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:29 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:21 pfe A ge-0/0/1.0 ICMP 172.16.19.1 172.16.19.2 22:27:20 pfe A ge-0/0/1.0 ICMP 172.16.19.1 172.16.19.2 22:27:19 pfe A ge-0/0/1.0 ICMP 172.16.19.1 172.16.19.2 22:27:18 pfe A ge-0/0/1.0 ICMP 172.16.19.1 172.16.19.2 22:27:04 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:04 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:27:04 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:04 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:27:02 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:02 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:27:01 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:01 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:27:00 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:00 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:24:48 filter_if_group A fxp0.0 ICMP 10.92.16.2 10.92.26.176
Pour vous assurer que les filtres de pare-feu sont actifs sur le groupe
1
d’interfaces de l’appareil R1, utilisez laping <address>
commande de mode opérationnel sur l’interface de ligne de commande de l’appareil R0.user@R0> ping 172.16.17.2 PING 172.16.17.2 (172.16.17.2): 56 data bytes 36 bytes from 172.16.17.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f46b 0 0000 40 01 6239 172.16.17.1 172.16.17.2 36 bytes from 172.16.17.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f479 0 0000 40 01 622b 172.16.17.1 172.16.17.2 36 bytes from 172.16.17.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f487 0 0000 40 01 621d 172.16.17.1 172.16.17.2
user@R0> ping 20.1.1.2 PING 20.1.1.2 (20.1.1.2): 56 data bytes 36 bytes from 20.1.1.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f5bd 0 0000 40 01 5ae7 20.1.1.1 20.1.1.2 36 bytes from 20.1.1.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f5cd 0 0000 40 01 5ad7 20.1.1.1 20.1.1.2 36 bytes from 20.1.1.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f5d9 0 0000 40 01 5acb 20.1.1.1 20.1.1.2 36 bytes from 20.1.1.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f5f6 0 0000 40 01 5aae 20.1.1.1 20.1.1.2
Pour vous assurer que le filtre de pare-feu n’est pas appliqué sur une interface qui ne fait pas partie d’un groupe
1
d’interfaces, utilisez laping <address>
commande mode opérationnel sur l’interface de ligne de commande du périphérique R0.user@R0> ping 172.16.19.2 PING 172.16.19.2 (172.16.19.2): 56 data bytes 64 bytes from 172.16.19.2: icmp_seq=0 ttl=64 time=8.689 ms 64 bytes from 172.16.19.2: icmp_seq=1 ttl=64 time=4.076 ms 64 bytes from 172.16.19.2: icmp_seq=2 ttl=64 time=8.501 ms 64 bytes from 172.16.19.2: icmp_seq=3 ttl=64 time=3.954 ms ...
Sens
Le filtre de pare-feu sans état est appliqué à toutes les interfaces du groupe 1
d’interfaces . La condition de correspondance du terme dans le filtre de pare-feu sans état compte, consigne et rejette les paquets reçus ou envoyés à partir des interfaces du term1
groupe 1
d’interfaces et avec un protocole ICMP source. Le terme term2
condition de correspondance correspond aux paquets marqués avec le protocole ICMP et compte, consigne et accepte ces paquets. La condition de correspondance term term3
compte tous les paquets de transit.