Exemple : Configuration d’un filtre de pare-feu sans état sur un groupe d’interfaces
Les filtres de pare-feu sont essentiels pour sécuriser un réseau et simplifier la gestion du réseau. Dans Junos OS, vous pouvez configurer un filtre de pare-feu sans état pour contrôler le transit des paquets de données à travers le système et manipuler les paquets si nécessaire. L’application d’un filtre de pare-feu sans état à un groupe d’interfaces permet de filtrer les paquets transitant par chaque interface du groupe d’interfaces. Cet exemple montre comment configurer un filtre de pare-feu standard sans état pour correspondre aux paquets balisés pour un groupe d’interfaces particulier.
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
Deux routeurs ou commutateurs Juniper Networks qui sont physiquement ou logiquement connectés entre eux via des interfaces appartenant à une instance de routage
Junos OS Version 7.4 ou ultérieure
Présentation
Vous pouvez appliquer un filtre de pare-feu sans état à un groupe d’interfaces pour l’appliquer sur toutes les interfaces du groupe d’interfaces. Cela vous permet de gérer simultanément le filtrage des paquets sur diverses interfaces.
Dans cet exemple, vous configurez deux interfaces de routeur ou de commutateur pour qu’elles appartiennent au groupe d’interfaces. Vous configurez également un filtre de pare-feu sans état avec trois termes. En terme de term1terme , le filtre correspond aux paquets qui ont été étiquetés comme reçus sur ce groupe d’interface et contiennent une balise de protocole ICMP. Le filtre compte, enregistre et rejette les paquets qui correspondent aux conditions. En terme de term2terme , le filtre correspond aux paquets qui contiennent la balise de protocole ICMP. Le filtre compte, enregistre et accepte tous les paquets qui correspondent à la condition. En terme term3, le filtre compte tous les paquets de transit.
En appliquant le filtre de pare-feu à l’instance de routage, vous pouvez appliquer simultanément le mécanisme de filtrage sur toutes les interfaces du groupe d’interfaces. Pour cela, toutes les interfaces du groupe d’interfaces doivent appartenir à une seule instance de routage.
Lorsque vous appliquez un filtre de pare-feu à une interface de bouclage, l’interface filtre tous les paquets destinés au moteur de routage.
La configuration rapide cli affiche la configuration de tous les équipements dans Figure 1. La section Procédure étape par étape décrit les étapes sur l’équipement R1.
Configuration
- Configuration rapide cli
- Configurer et appliquer le filtre de pare-feu sans état sur un groupe d’interfaces
- Résultats
Configuration rapide cli
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit à partir du mode de configuration.
Équipement R0
set interfaces ge-0/0/0 unit 0 family inet address 172.16.17.1/30 set interfaces ge-0/0/1 unit 0 family inet address 172.16.19.1/30 set interfaces ge-0/0/2 unit 0 family inet address 20.1.1.1/30 set interfaces lo0 unit 0 family inet address 10.0.0.1/32
Équipement R1
set firewall family inet filter filter_if_group term term1 from interface-group 1 set firewall family inet filter filter_if_group term term1 from protocol icmp set firewall family inet filter filter_if_group term term1 then count if_group_counter1 set firewall family inet filter filter_if_group term term1 then log set firewall family inet filter filter_if_group term term1 then reject set firewall family inet filter filter_if_group term term2 from protocol icmp set firewall family inet filter filter_if_group term term2 then count if_group_counter2 set firewall family inet filter filter_if_group term term2 then log set firewall family inet filter filter_if_group term term2 then accept set firewall family inet filter filter_if_group term term3 then count default set interfaces ge-0/0/0 unit 0 family inet filter group 1 set interfaces ge-0/0/0 unit 0 family inet address 172.16.17.2/30 set interfaces ge-0/0/1 unit 0 family inet address 172.16.19.2/30 set interfaces ge-0/0/2 unit 0 family inet filter group 1 set interfaces ge-0/0/2 unit 0 family inet address 20.1.1.2/30 set interfaces lo0 unit 0 family inet address 20.0.0.1/32 set forwarding-options family inet filter input filter_if_group
Configurer et appliquer le filtre de pare-feu sans état sur un groupe d’interfaces
Procédure étape par étape
Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour plus d’informations sur la navigation sur l’interface cli, consultez Utiliser l’éditeur CLI en mode configuration le guide de l’utilisateur CLI.
Pour configurer le filtre filter_if_group de pare-feu sans état sur un groupe d’interfaces :
Créez le filtre de pare-feu sans état
filter_if_group.[edit firewall] user@R1# edit family inet filter filter_if_group
Configurez les interfaces et attribuez deux interfaces au groupe
1d’interfaces .[edit interfaces] user@R1# set ge-0/0/0 unit 0 family inet filter group 1 user@R1# set ge-0/0/0 unit 0 family inet address 172.16.17.2/30 user@R1# set ge 0/0/1 unit 0 family inet address 172.16.19.2/30 user@R1# set ge-0/0/2 unit 0 family inet filter group 1 user@R1# set ge-0/0/2 unit 0 family inet address 20.1.1.2/30 user@R1# set lo0 unit 0 family inet address 20.0.0.1/32
Configurez le terme
term1pour correspondre aux paquets reçus sur le groupe1d’interface et avec le protocole ICMP.[edit firewall] user@R1# set family inet filter filter_if_group term term1 from interface-group 1 user@R1# set family inet filter filter_if_group term term1 from protocol icmp
Configurez le terme
term1pour compter, consigner et rejeter tous les paquets correspondants.[edit firewall] user@R1# set family inet filter filter_if_group term term1 then count if_group_counter1 user@R1# set family inet filter filter_if_group term term1 then log user@R1# set family inet filter filter_if_group term term1 then reject
Configurez le terme
term2pour faire correspondre les paquets au protocole ICMP.[edit firewall] user@R1# set family inet filter filter_if_group term term2 from protocol icmp
Configurez le terme
term2pour compter, consigner et accepter tous les paquets correspondants.[edit firewall] user@R1# set family inet filter filter_if_group term term2 then count if_group_counter2 user@R1# set family inet filter filter_if_group term term2 then log user@R1# set family inet filter filter_if_group term term2 then accept
Configurez le terme
term3pour compter tous les paquets de transit.[edit firewall] user@R1# set family inet filter filter_if_group term term3 then count default
Appliquez le filtre de pare-feu au groupe d’interface du routeur (ou du commutateur) en l’appliquant à l’instance de routage.
[edit] user@R1# set forwarding-options family inet filter input filter_if_group
Si vous avez fini de configurer l’équipement, validez la configuration de votre candidat.
[edit] user@host# commit
Résultats
À partir du mode de configuration, confirmez votre configuration en émettant le show interfaces, show firewallet show forwarding-options les commandes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
[edit]
user@R1# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
filter {
group 1;
}
address 172.16.17.2/30;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 172.16.19.2/30;
}
}
}
ge-0/0/2 {
unit 0 {
family inet {
filter {
group 1;
}
address 20.1.1.2/30;
}
}
}
lo0 {
unit 0 {
family inet {
address 20.0.0.1/32;
}
}
}
[edit]
user@R1# show firewall
family inet {
filter filter_if_group {
term term1 {
from {
interface-group 1;
protocol icmp;
}
then {
count if_group_counter1;
log;
reject;
}
}
term term2 {
from {
protocol icmp;
}
then {
count if_group_counter2;
log;
accept;
}
}
term term3 {
then count default;
}
}
}
[edit]
user@R1# show forwarding-options
family inet {
filter {
input filter_if_group;
}
}
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification de la configuration des interfaces
- Vérification de la configuration du filtre de pare-feu sans état
Vérification de la configuration des interfaces
But
Vérifiez que les interfaces sont correctement configurées.
Action
Pour afficher l’état des interfaces, utilisez la commande du show interfaces terse mode opérationnel.
Équipement R0
user@R0> show interfaces terse
Interface Admin Link Proto Local Remote
ge-0/0/0 up up
ge-0/0/0.0 up up inet 172.16.17.1/30
multiservice
ge-0/0/1 up up
ge-0/0/1.0 up up inet 172.16.19.1/30
multiservice
ge-0/0/2 up up
ge-0/0/2.0 up up inet 20.1.1.1/30
multiservice
lo0 up up
lo0.0 up up inet 10.0.0.1 --> 0/0Équipement R1
user@R1> show interfaces terse
Interface Admin Link Proto Local Remote
ge-0/0/0 up up
ge-0/0/0.0 up up inet 172.16.17.2/30
multiservice
...
ge-0/0/1 up up
ge-0/0/1.0 up up inet 172.16.19.2/30
multiservice
ge-0/0/2 up up
ge-0/0/2.0 up up inet 20.1.1.2/30
multiservice
...Sens
Toutes les interfaces des équipements R0 et R1 sont physiquement connectées et up. Le groupe d’interfaces 1 sur l’équipement R1 se compose de deux interfaces, à savoir ge-0/0/0 et ge-0/0/2.0.
Vérification de la configuration du filtre de pare-feu sans état
But
Vérifiez que les conditions de correspondance du filtre de pare-feu sont correctement configurées.
Action
Pour afficher les compteurs de filtres de pare-feu, saisissez la commande du
show firewall filter filter_if_groupmode opérationnel.user@R1> show firewall filter filter_if_group Filter: filter_if_group Counters: Name Bytes Packets default 192975 3396 if_group_counter1 2520 30 if_group_counter2 2604 41
Pour afficher le journal local des en-têtes de paquets pour les paquets évalués par le filtre de pare-feu, saisissez la commande du
show firewall logmode opérationnel.user@R1> show firewall log Log : Time Filter Action Interface Protocol Src Addr Dest Addr 22:27:33 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:33 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:32 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:32 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:31 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:31 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:30 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:30 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:29 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:29 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:29 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:21 pfe A ge-0/0/1.0 ICMP 172.16.19.1 172.16.19.2 22:27:20 pfe A ge-0/0/1.0 ICMP 172.16.19.1 172.16.19.2 22:27:19 pfe A ge-0/0/1.0 ICMP 172.16.19.1 172.16.19.2 22:27:18 pfe A ge-0/0/1.0 ICMP 172.16.19.1 172.16.19.2 22:27:04 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:04 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:27:04 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:04 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:27:02 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:02 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:27:01 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:01 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:27:00 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:00 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:24:48 filter_if_group A fxp0.0 ICMP 10.92.16.2 10.92.26.176
Pour vous assurer que les filtres de pare-feu sont actifs sur le groupe
1d’interfaces sur l’équipement R1, utilisez laping <address>commande du mode opérationnel sur l’interface CLI de l’équipement R0.user@R0> ping 172.16.17.2 PING 172.16.17.2 (172.16.17.2): 56 data bytes 36 bytes from 172.16.17.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f46b 0 0000 40 01 6239 172.16.17.1 172.16.17.2 36 bytes from 172.16.17.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f479 0 0000 40 01 622b 172.16.17.1 172.16.17.2 36 bytes from 172.16.17.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f487 0 0000 40 01 621d 172.16.17.1 172.16.17.2
user@R0> ping 20.1.1.2 PING 20.1.1.2 (20.1.1.2): 56 data bytes 36 bytes from 20.1.1.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f5bd 0 0000 40 01 5ae7 20.1.1.1 20.1.1.2 36 bytes from 20.1.1.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f5cd 0 0000 40 01 5ad7 20.1.1.1 20.1.1.2 36 bytes from 20.1.1.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f5d9 0 0000 40 01 5acb 20.1.1.1 20.1.1.2 36 bytes from 20.1.1.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f5f6 0 0000 40 01 5aae 20.1.1.1 20.1.1.2
Pour vous assurer que le filtre de pare-feu n’est pas appliqué sur une interface qui n’est pas dans un groupe
1d’interfaces, utilisez laping <address>commande du mode opérationnel sur l’interface CLI de l’équipement R0.user@R0> ping 172.16.19.2 PING 172.16.19.2 (172.16.19.2): 56 data bytes 64 bytes from 172.16.19.2: icmp_seq=0 ttl=64 time=8.689 ms 64 bytes from 172.16.19.2: icmp_seq=1 ttl=64 time=4.076 ms 64 bytes from 172.16.19.2: icmp_seq=2 ttl=64 time=8.501 ms 64 bytes from 172.16.19.2: icmp_seq=3 ttl=64 time=3.954 ms ...
Sens
Le filtre de pare-feu sans état est appliqué à toutes les interfaces du groupe d’interfaces 1. Le terme term1 condition de correspondance dans le filtre de pare-feu sans état compte, enregistre et rejette les paquets reçus sur ou envoyés par les interfaces du groupe 1 d’interfaces et avec un protocole ICMP source. La condition de correspondance correspond term2 aux paquets balisés avec le protocole ICMP et compte, enregistre et accepte ces paquets. La condition de correspondance de terme term3 compte tous les paquets de transit.