Exemple : Configuration d’un filtre pour compter et rejeter les paquets d’options IP
Cet exemple montre comment configurer un pare-feu sans état standard pour compter les paquets.
Conditions préalables
Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de configurer cet exemple.
Étant donné que le terme de filtre correspond à n’importe quelle valeur d’option IP , le terme de filtre peut utiliser l’action de non-terminaison sans l’action de fin ou (alternativement) sans nécessiter d’interface sur un concentrateur de port modulaire (MPC) Ethernet 10 Gigabit, un MPC Ethernet 60 Gigabit, un MPC Ethernet de file d’attente 60 Gigabit ou un MPC de file d’attente count
discard
améliorée Ethernet 60 Gigabit sur un routeur MX Series.
Présentation
Dans cet exemple, vous utilisez un filtre de pare-feu sans état standard pour compter et rejeter les paquets qui incluent une valeur d’option IP, mais acceptent tous les autres paquets.
Le champ d’en-tête de l’option IP est un champ facultatif dans les en-têtes IPv4 uniquement. Les ip-options
conditions et correspondent sont uniquement prises en charge pour les filtres de pare-feu sans état standard et ip-options-except
les filtres de service.
Sur les routeurs des séries M et T, les filtres de pare-feu ne peuvent pas compter ip-options
les paquets par type d’option et par interface. Une solution de contournement limitée consiste à utiliser la commande pour afficher ip-options
des show pfe statistics ip options
statistiques par moteur de transfert de paquets (PFE). Reportez-vous à la section show pfe statistics ip pour obtenir un exemple de sortie.
Configuration
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utiliser l’éditeur CLI en mode configuration.
Pour configurer cet exemple, effectuez les tâches suivantes :
- Configuration rapide de l’interface de ligne de commande
- Configurer le filtre de pare-feu sans état
- Application du filtre de pare-feu sans état à une interface logique
- Confirmez et validez la configuration de votre candidat
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes de configuration suivantes dans un fichier texte, supprimez les sauts de ligne, puis collez-les dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie.
set firewall family inet filter block_ip_options term 10 from ip-options any set firewall family inet filter block_ip_options term 10 then count option_any set firewall family inet filter block_ip_options term 10 then discard set firewall family inet filter block_ip_options term 999 then accept set interfaces ge-0/0/1 unit 0 family inet filter input block_ip_options set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30
Configurer le filtre de pare-feu sans état
Procédure étape par étape
Pour configurer le filtre de pare-feu sans état :
Créez le filtre
block_ip_options
de pare-feu sans état .[edit] user@host# edit firewall family inet filter block_ip_options
Configurez le premier terme pour compter et rejeter les paquets qui incluent des champs d’en-tête d’options IP.
[edit firewall family inet filter block_ip_options] user@host# set term 10 from ip-options any user@host# set term 10 then count option_any user@host# set term 10 then discard
Configurez l’autre terme pour qu’il accepte tous les autres paquets.
[edit firewall family inet filter block_ip_options] user@host# set term 999 then accept
Application du filtre de pare-feu sans état à une interface logique
Procédure étape par étape
Pour appliquer le filtre de pare-feu sans état à une interface logique :
Configurez l’interface logique à laquelle vous allez appliquer le filtre de pare-feu sans état.
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
Configurez l’adresse de l’interface logique.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
Appliquez le filtre de pare-feu sans état à l’interface logique.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input block_ip_options
Confirmez et validez la configuration de votre candidat
Procédure étape par étape
Pour confirmer, puis valider la configuration de votre candidat :
Confirmez la configuration du filtre de pare-feu sans état en entrant la commande configuration
show firewall
mode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.[edit] user@host# show firewall family inet { filter block_ip_options { term 10 { from { ip-options any; } then { count option_any; discard; } } term 999 { then accept; } } }
Confirmez la configuration de l’interface en entrant la commande configuration
show interfaces
mode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { filter { input block_ip_options; } address 10.1.2.3/30; } } }
Si vous avez terminé de configurer l’appareil, validez votre configuration candidate.
[edit] user@host# commit
Vérification
Pour vérifier que la configuration fonctionne correctement, entrez la commande de show firewall filter block_ip_options
mode opérationnel. Pour afficher séparément le nombre de paquets supprimés, entrez la forme de la show firewall count option_any
commande.