Exemple : Configuration d’un filtre pour qu’il corresponde aux champs de port et de protocole
Cet exemple montre comment configurer un filtre de pare-feu sans état standard pour qu’il corresponde aux champs de port et de protocole de destination.
Conditions préalables
Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de configurer cet exemple.
Présentation
Dans cet exemple, vous configurez un filtre de pare-feu sans état qui accepte tous les paquets IPv4, à l’exception des paquets TCP et UDP. Les paquets TCP et UDP sont acceptés s’ils sont destinés au port SSH ou au port Telnet. Tous les autres paquets sont rejetés.
Configuration
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utiliser l’éditeur CLI en mode configuration.
- Configuration rapide de l’interface de ligne de commande
- Configurer le filtre de pare-feu sans état
- Application du filtre de pare-feu sans état à une interface logique
- Confirmez et validez la configuration de votre candidat
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes de configuration suivantes dans un fichier texte, supprimez les sauts de ligne, puis collez-les dans l’interface de ligne de commande au niveau de la [edit] hiérarchie :
set firewall family inet filter filter1 term term1 from protocol-except tcp set firewall family inet filter filter1 term term1 from protocol-except udp set firewall family inet filter filter1 term term1 then accept set firewall family inet filter filter1 term term2 from address 192.168.0.0/16 set firewall family inet filter filter1 term term2 then reject set firewall family inet filter filter1 term term3 from destination-port ssh set firewall family inet filter filter1 term term3 from destination-port telnet set firewall family inet filter filter1 term term3 then accept set firewall family inet filter filter1 term term4 then reject set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30 set interfaces ge-0/0/1 unit 0 family inet filter input filter1
Configurer le filtre de pare-feu sans état
Procédure étape par étape
Pour configurer le filtre filter1du pare-feu sans état :
Créez le filtre de pare-feu sans état IPv4.
[edit] user@host# edit firewall family inet filter filter1
Configurez un terme pour accepter tout le trafic, à l’exception des paquets TCP et UDP.
[edit firewall family inet filter filter1] user@host# set term term1 from protocol-except tcp user@host# set term term1 from protocol-except udp user@host# set term term1 then accept
Configurez un terme pour rejeter les paquets à destination
192.168/16ou en provenance du préfixe.[edit firewall family inet filter filter1] user@host# set term term2 from address 192.168.0.0/16 user@host# set term term2 then reject
Configurez un terme pour accepter les paquets destinés au port SSH ou au port Telnet.
[edit firewall family inet filter filter1] user@host# set term term3 from destination-port ssh user@host# set term term3 from destination-port telnet user@host# set term term3 then accept
Configurez le dernier terme pour rejeter tous les paquets.
[edit firewall family inet filter filter1] user@host# set term term4 then reject
Application du filtre de pare-feu sans état à une interface logique
Procédure étape par étape
Pour appliquer le filtre de pare-feu sans état à une interface logique :
Configurez l’interface logique à laquelle vous allez appliquer le filtre de pare-feu sans état.
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
Configurez l’adresse de l’interface logique.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
Appliquez le filtre de pare-feu sans état à l’interface logique.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input filter1
Confirmez et validez la configuration de votre candidat
Procédure étape par étape
Pour confirmer, puis valider la configuration de votre candidat :
Confirmez la configuration du filtre de pare-feu sans état en entrant la commande configuration
show firewallmode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.[edit] user@host# show firewall family inet { filter filter1 { term term1 { from { protocol-except [tcp udp]; } then { accept; } } term term2 { from { address 192.168/16; } then { reject; } } term term3 { from { destination-port [ssh telnet]; } then { accept; } } term term4 { then { reject; } } } }Confirmez la configuration de l’interface en entrant la commande configuration
show interfacesmode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { filter { input filter1; } address 10.1.2.3/30; } } }Si vous avez terminé de configurer l’appareil, validez votre configuration candidate.
[edit] user@host# commit
Vérification
Pour vérifier que la configuration fonctionne correctement, entrez la commande de show firewall filter filter1 mode opérationnel.