Exemple : Configuration d’un filtre pour compter et échantillonner les paquets acceptés
Cet exemple montre comment configurer un filtre de pare-feu sans état standard pour compter et échantillonner les paquets acceptés.
Conditions préalables
Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de configurer cet exemple.
Avant de commencer, configurez l’échantillonnage du trafic en incluant l’instruction sampling au niveau de la [edit forwarding-options] hiérarchie.
Présentation
Dans cet exemple, vous utilisez un filtre de pare-feu sans état standard pour compter et échantillonner tous les paquets reçus sur une interface logique.
Lorsque vous activez le transfert de chemin inverse (RPF) sur une interface avec un filtre d’entrée pour le journal et le comptage du pare-feu, le filtre du pare-feu d’entrée ne consigne pas les paquets rejetés par RPF, bien que les paquets rejetés soient comptés. Pour consigner les paquets rejetés, utilisez un filtre d’échec de vérification RPF.
Sur les routeurs MX Series avec MPC3 ou MPC4, si les filtres de pare-feu sont configurés pour compter les paquets TWAMP (Two-Way Active Measurement Protocol), le nombre est doublé pour tous les paquets TWAMP. Il peut également y avoir une légère augmentation du temps d’aller-retour (RTT) lorsque le serveur TWAMP est hébergé sur MPC3 ou MPC4. Cet avertissement ne s’applique pas aux routeurs équipés de cartes MPC1 ou MPC2.
Sur QFX5130 et QFX5700, lorsqu’un paquet atteint plusieurs filtres de pare-feu qui ont une action de contre-attaque, seul le compteur de groupe de priorité la plus élevée s’incrémente. Par exemple, supposons que le paquet a heurté un filtre IPACL (Port ACL) et un filtre IRACL (Routed ACL), les deux ayant une contre-action. Selon la priorité, l’IRACL a une priorité élevée sur l’IPACL. Par conséquent, seul le compteur IRACL s’incrémentera. S’il n’y a pas de hit dans IRACL, alors le compteur IPACL s’incrémentera.
Vous trouverez ci-dessous l’ordre de priorité des listes de contrôle d’accès configurées par l’utilisateur (de la plus élevée à la plus basse),
-
Bouclage
-
L’IRACL
-
L’IPACL
-
IVACL
Configuration
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utiliser l’éditeur CLI en mode configuration.
Pour configurer cet exemple, effectuez les tâches suivantes :
- Configuration rapide de l’interface de ligne de commande
- Configurer le filtre de pare-feu sans état
- Application du filtre de pare-feu sans état à une interface logique
- Confirmez et validez la configuration de votre candidat
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes de configuration suivantes dans un fichier texte, supprimez les sauts de ligne, puis collez-les dans l’interface de ligne de commande au niveau de la [edit] hiérarchie.
set firewall family inet filter sam term all then count count_sam set firewall family inet filter sam term all then sample set interfaces at-2/0/0 unit 301 family inet address 10.1.2.3/30 set interfaces at-2/0/0 unit 301 family inet filter input sam
Configurer le filtre de pare-feu sans état
Procédure étape par étape
Pour configurer le filtre samdu pare-feu sans état :
Créez le filtre
samde pare-feu sans état .[edit] user@host# edit firewall family inet filter sam
Configurez le terme pour compter et échantillonner tous les paquets.
[edit firewall family inet filter sam] user@host# set term all then count count_sam user@host# set term all then sample
Application du filtre de pare-feu sans état à une interface logique
Procédure étape par étape
Pour appliquer le filtre de pare-feu sans état à une interface logique :
Configurez l’interface logique à laquelle vous allez appliquer le filtre de pare-feu sans état.
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
Configurez l’adresse de l’interface logique.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
Appliquez le filtre de pare-feu sans état à l’interface logique.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input sam
REMARQUE :Junos OS néchantillonne pas les paquets provenant du routeur ou du commutateur. Si vous configurez un filtre et que vous l’appliquez au côté sortie d’une interface, seuls les paquets de transit passant par cette interface sont échantillonnés. Les paquets envoyés du moteur de routage au moteur de transfert de paquets ne sont pas échantillonnés.
Confirmez et validez la configuration de votre candidat
Procédure étape par étape
Pour confirmer, puis valider la configuration de votre candidat :
Confirmez la configuration du filtre de pare-feu sans état en entrant la commande configuration
show firewallmode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.[edit] user@host# show firewall family inet { filter sam { term all { then { count count_sam; sample; # default action is accept } } } }Confirmez la configuration de l’interface en entrant la commande configuration
show interfacesmode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.[edit] user@host# show interfaces interfaces { at-2/0/0 { unit 301 { family inet { filter { input sam; } address 10.1.2.3/30; } } } }Si vous avez terminé de configurer l’appareil, validez votre configuration candidate.
[edit] user@host# commit
Vérification
Vérifiez que la configuration fonctionne correctement.
- Affichage du compteur de paquets
- Affichage de la sortie du journal du filtre de pare-feu
- Affichage de la sortie d’échantillonnage
Affichage du compteur de paquets
But
Vérifiez que le filtre de pare-feu évalue les paquets.
Action
user@host> show firewall filter sam Filter: Counters: Name Bytes Packets sam sam-1 98 8028
Affichage de la sortie du journal du filtre de pare-feu
But
Affiche les informations d’en-tête de tous les paquets évalués par le filtre de pare-feu.
Action
user@host> show firewall log Time Filter A Interface Pro Source address Destination address 23:09:09 - A at-2/0/0.301 TCP 10.2.0.25 10.211.211.1:80 23:09:07 - A at-2/0/0.301 TCP 10.2.0.25 10.211.211.1:56 23:09:07 - A at-2/0/0.301 ICM 10.2.0.25 10.211.211.1:49552 23:02:27 - A at-2/0/0.301 TCP 10.2.0.25 10.211.211.1:56 23:02:25 - A at-2/0/0.301 TCP 10.2.0.25 10.211.211.1:80 23:01:22 - A at-2/0/0.301 ICM 10.2.2.101 10.211.211.1:23251 23:01:21 - A at-2/0/0.301 ICM 10.2.2.101 10.211.211.1:16557 23:01:20 - A at-2/0/0.301 ICM 10.2.2.101 10.211.211.1:29471 23:01:19 - A at-2/0/0.301 ICM 10.2.2.101 10.211.211.1:26873
Sens
Ce fichier de sortie contient les champs suivants :
Time: heure à laquelle le paquet a été reçu (non affichée par défaut).Filter: nom d’un filtre qui a été configuré avec l’instructionfilterau niveau de la[edit firewall]hiérarchie. Un trait d’union (-) ou l’abréviationpfeindique que le paquet a été traité par le moteur de transfert de paquets. Un espace (sans trait d’union) indique que le paquet a été traité par le moteur de routage.A—Action de filtre :A—Accepter (ou au terme suivant)D—JeterR—Rejeter
Interface: interface sur laquelle le filtre est configuré.REMARQUE :Nous vous recommandons vivement de toujours configurer explicitement une action dans l’instruction
then.Pro: nom ou numéro de protocole du paquet.Source address: adresse IP source dans le paquet.Destination address: adresse IP de destination dans le paquet.
Affichage de la sortie d’échantillonnage
But
Vérifiez que la sortie d’échantillonnage contient les données appropriées.
Action
wtmp.0.gz Size: 15017, Last changed: Dec 19 13:15:54 wtmp.1.gz Size: 493, Last changed: Nov 19 13:47:29 wtmp.2.gz Size: 57, Last changed: Oct 20 15:24:34 | Pipe through a command
user@host> show log /var/tmp/sam
# Apr 7 15:48:50
Time Dest Src Dest Src Proto TOS Pkt Intf IP TCP
addr addr port port len num frag flags
Apr 7 15:48:54 192.168.9.194 192.168.9.195 0 0 1 0x0 84 8 0x0 0x0
Apr 7 15:48:55 192.168.9.194 192.168.9.195 0 0 1 0x0 84 8 0x0 0x0
Apr 7 15:48:56 192.168.9.194 192.168.9.195 0 0 1 0x0 84 8 0x0 0x0