Exemple : Configuration d’un filtre pour compter les paquets acceptés et rejetés
Cet exemple montre comment configurer un filtre de pare-feu pour compter les paquets.
Conditions préalables
Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de configurer cet exemple.
Présentation
Dans cet exemple, vous utilisez un filtre de pare-feu sans état pour rejeter toutes les adresses à l’exception de 192.168.5.0/24.
Topologie
Dans le premier terme, la condition address 192.168.5.0/24 except
de correspondance fait considérer cette adresse comme une incompatibilité, et cette adresse est transmise au terme suivant dans le filtre. La condition address 0.0.0.0/0
de correspondance correspond à tous les autres paquets, et ceux-ci sont comptés, consignés et rejetés.
Dans le deuxième terme, tous les paquets qui sont passés par le premier terme (c’est-à-dire les paquets dont l’adresse correspond ) 192.168.5.0/24
sont comptés, enregistrés et acceptés.
Configuration
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utiliser l’éditeur CLI en mode configuration.
Pour configurer cet exemple, effectuez les tâches suivantes :
- Configuration rapide de l’interface de ligne de commande
- Configurer le filtre de pare-feu sans état
- Application du filtre de pare-feu sans état à une interface logique
- Confirmez et validez la configuration de votre candidat
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes de configuration suivantes dans un fichier texte, supprimez les sauts de ligne, puis collez-les dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie.
set firewall family inet filter fire1 term 1 from address 192.168.5.0/24 except set firewall family inet filter fire1 term 1 from address 0.0.0.0/0 set firewall family inet filter fire1 term 1 then count reject_pref1_1 set firewall family inet filter fire1 term 1 then log set firewall family inet filter fire1 term 1 then reject set firewall family inet filter fire1 term 2 then count reject_pref1_2 set firewall family inet filter fire1 term 2 then log set firewall family inet filter fire1 term 2 then accept set interfaces ge-0/0/1 unit 0 family inet filter input fire1 set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30
Configurer le filtre de pare-feu sans état
Procédure étape par étape
Pour configurer le filtre fire1
du pare-feu sans état :
Créez le filtre
fire1
de pare-feu sans état .[edit] user@host# edit firewall family inet filter fire1
Configurez le premier terme pour qu’il rejette toutes les adresses, à l’exception de celles à destination ou en provenance du
192.168.5.0/24
préfixe, puis comptez, consignez et rejetez tous les autres paquets.[edit firewall family inet filter fire1] user@host# set term 1 from address 192.168.5.0/24 except user@host# set term 1 from address 0.0.0.0/0 user@host# set term 1 then count reject_pref1_1 user@host# set term 1 then log user@host# set term 1 then reject
Configurez le terme suivant pour compter, consigner et accepter les paquets dans le
192.168.5.0/24
préfixe.[edit firewall family inet filter fire1] user@host# set term 2 then count reject_pref1_2 user@host# set term 2 then log user@host# set term 2 then accept
Application du filtre de pare-feu sans état à une interface logique
Procédure étape par étape
Pour appliquer le filtre de pare-feu sans état à une interface logique :
Configurez l’interface logique à laquelle vous allez appliquer le filtre de pare-feu sans état.
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
Configurez l’adresse de l’interface logique.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
Appliquez le filtre de pare-feu sans état à l’interface logique.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input fire1
Confirmez et validez la configuration de votre candidat
Procédure étape par étape
Pour confirmer, puis valider la configuration de votre candidat :
Confirmez la configuration du filtre de pare-feu sans état en entrant la commande configuration
show firewall
mode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.[edit] user@host# show firewall family inet { filter fire1 { term 1 { from { address { 192.168.5.0/24 except; 0.0.0.0/0; } } then { count reject_pref1_1; log; reject; } } term 2 { then { count reject_pref1_2; log; accept; } } } }
Confirmez la configuration de l’interface en entrant la commande configuration
show interfaces
mode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { filter { input fire1; } address 10.1.2.3/30; } } }
Si vous avez terminé de configurer l’appareil, validez votre configuration candidate.
[edit] user@host# commit
Vérification
Pour vérifier que la configuration fonctionne correctement, entrez la commande de show firewall filter fire1
mode opérationnel. Vous pouvez également afficher le journal et les compteurs individuels séparément à l’aide des formes suivantes de la commande :
show firewall counter reject_pref1_1
show firewall counter reject_pref1_2