Exemple : Configuration d’un filtre pour compter les paquets d’options IP
Cet exemple montre comment utiliser un filtre de pare-feu sans état pour compter les paquets d’options IP individuels :
Conditions préalables
Cet exemple utilise une interface sur un MPC (Modular Port Concentrator) 10 gigabit Ethernet, un MPC Ethernet 60 Gigabit, un MPC Ethernet de file d’attente 60 Gigabit ou un MPC Enhanced Queuing MPC 60 Gigabit Ethernet sur un routeur MX Series. Cette interface vous permet d’appliquer un filtre de pare-feu IPv4 (filtre standard ou filtre de service) qui peut utiliser les actions , , loget syslog non terminaison sur les countpaquets qui correspondent à une valeur spécifique ip-option sans avoir à utiliser également l’action de discard fin.
Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de configurer cet exemple.
Présentation
Dans cet exemple, vous utilisez un filtre de pare-feu sans état pour compter les paquets d’options IP, mais sans bloquer le trafic. En outre, le filtre enregistre les paquets qui ont un routage source lâche ou strict.
Le champ d’en-tête de l’option IP est un champ facultatif dans les en-têtes IPv4 uniquement. Les ip-options conditions et correspondent sont uniquement prises en charge pour les filtres de pare-feu sans état standard et ip-options-except les filtres de service.
Sur les routeurs des séries M et T, les filtres de pare-feu ne peuvent pas compter ip-options les paquets par type d’option et par interface. Une solution de contournement limitée consiste à utiliser la commande pour afficher ip-options des show pfe statistics ip options statistiques par moteur de transfert de paquets (PFE). Reportez-vous à la section show pfe statistics ip pour obtenir un exemple de sortie.
Configuration
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utiliser l’éditeur CLI en mode configuration.
Pour configurer cet exemple, effectuez les tâches suivantes :
- Configuration rapide de l’interface de ligne de commande
- Configurer le filtre de pare-feu sans état
- Application du filtre de pare-feu sans état à une interface logique
- Confirmez et validez la configuration de votre candidat
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes de configuration suivantes dans un fichier texte, supprimez les sauts de ligne, puis collez-les dans l’interface de ligne de commande au niveau de la [edit] hiérarchie.
set firewall family inet filter ip_options_filter term match_strict_source from ip-options strict-source-route set firewall family inet filter ip_options_filter term match_strict_source then count strict_source_route set firewall family inet filter ip_options_filter term match_strict_source then log set firewall family inet filter ip_options_filter term match_strict_source then accept set firewall family inet filter ip_options_filter term match_loose_source from ip-options loose-source-route set firewall family inet filter ip_options_filter term match_loose_source then count loose_source_route set firewall family inet filter ip_options_filter term match_loose_source then log set firewall family inet filter ip_options_filter term match_loose_source then accept set firewall family inet filter ip_options_filter term match_record from ip-options record-route set firewall family inet filter ip_options_filter term match_record then count record_route set firewall family inet filter ip_options_filter term match_record then accept set firewall family inet filter ip_options_filter term match_timestamp from ip-options timestamp set firewall family inet filter ip_options_filter term match_timestamp then count timestamp set firewall family inet filter ip_options_filter term match_timestamp then accept set firewall family inet filter ip_options_filter term match_router_alert from ip-options router-alert set firewall family inet filter ip_options_filter term match_router_alert then count router_alert set firewall family inet filter ip_options_filter term match_router_alert then accept set firewall family inet filter ip_options_filter term match_all then accept set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30 set interfaces ge-0/0/1 unit 0 family inet filter input ip_options_filter
Configurer le filtre de pare-feu sans état
Procédure étape par étape
Pour configurer le filtre ip_option_filterdu pare-feu sans état :
Créez le filtre
ip_option_filterde pare-feu sans état .[edit] user@host# edit firewall family inet filter ip_options_filter
Configurez le premier terme pour compter, consigner et accepter les paquets avec le champ d’en-tête
strict_source_routefacultatif IP.[edit firewall family inet filter ip_option_filter] user@host# set term match_strict_source from ip-options strict_source_route user@host# set term match_strict_source then count strict_source_route user@host# set term match_strict_source then log user@host# set term match_strict_source then accept
Configurez le terme suivant pour compter, consigner et accepter les paquets à l’aide du champ d’en-tête
loose-source-routefacultatif IP.[edit firewall family inet filter ip_option_filter] user@host# set term match_loose_source from ip-options loose-source-route user@host# set term match_loose_source then count loose_source_route user@host# set term match_loose_source then log user@host# set term match_loose_source then accept
Configurez le terme suivant pour compter et accepter les paquets avec le champ d’en-tête
record-routefacultatif IP.[edit firewall family inet filter ip_option_filter] user@host# set term match_record from ip-options record-route user@host# set term match_record then count record_route user@host# set term match_record then accept
Configurez le terme suivant pour compter et accepter les paquets avec le champ d’en-tête
timestampfacultatif IP.[edit firewall family inet filter ip_option_filter] user@host# set term match_timestamp from ip-options timestamp user@host# set term match_timestamp then count timestamp user@host# set term match_timestamp then accept
Configurez le terme suivant pour compter et accepter les paquets avec le champ d’en-tête
router-alertfacultatif IP.[edit firewall family inet filter ip_option_filter] user@host# set term match_router_alert from ip-options router-alert user@host# set term match_router_alert then count router_alert user@host# set term match_router_alert then accept
Créez le dernier terme pour accepter n’importe quel paquet sans incrémenter de compteurs.
[edit firewall family inet filter ip_option_filter] user@host# set term match_all then accept
Application du filtre de pare-feu sans état à une interface logique
Procédure étape par étape
Pour appliquer le filtre de pare-feu sans état à une interface logique :
Configurez l’interface logique à laquelle vous allez appliquer le filtre de pare-feu sans état.
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
Configurez l’adresse de l’interface logique.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
Appliquez le filtre de pare-feu sans état à l’interface logique.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input ip_options_filter
Confirmez et validez la configuration de votre candidat
Procédure étape par étape
Pour confirmer, puis valider la configuration de votre candidat :
Confirmez la configuration du filtre de pare-feu sans état en entrant la commande configuration
show firewallmode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.[edit] user@host# show firewall family inet { filter ip_options_filter { term match_strict_source { from { ip-options strict-source-route; } then { count strict_source_route; log; accept; } } term match_loose_source { from { ip-options loose-source-route; } then { count loose_source_route; log; accept; } } term match_record { from { ip-options record-route; } then { count record_route; accept; } } term match_timestamp { from { ip-options timestamp; } then { count timestamp; accept; } } term match_router_alert { from { ip-options router-alert; } then { count router_alert; accept; } } term match_all { then accept; } } }Confirmez la configuration de l’interface en entrant la commande configuration
show interfacesmode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { filter { input ip_option_filter; } address 10.1.2.3/30; } } }Si vous avez terminé de configurer l’appareil, validez votre configuration candidate.
[edit] user@host# commit
Vérification
Pour vérifier que la configuration fonctionne correctement, entrez la commande de show firewall filter ip_option_filter mode opérationnel. Vous pouvez également afficher le journal et les compteurs individuels séparément à l’aide des formes suivantes de la commande :
show firewall counter strict_source_routeshow firewall counter loose_source_routeshow firewall counter record_routeshow firewall counter timestampshow firewall counter router_alertshow firewall log