Exemple : Configuration d’un filtre pour qu’il corresponde à deux critères indépendants
Cet exemple montre comment configurer un filtre de pare-feu sans état standard pour qu’il corresponde à deux critères indépendants.
Conditions préalables
Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de configurer cet exemple.
Présentation
Dans cet exemple, vous utilisez un filtre de pare-feu sans état standard pour faire correspondre les paquets IPv4 qui sont soit des paquets OSPF, soit des paquets provenant d’une adresse dans le préfixe 10.108/16, et envoyer un administratively-prohibited message ICMP pour tous les paquets qui ne correspondent pas.
Configuration
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utiliser l’éditeur CLI en mode configuration.
Pour configurer cet exemple, effectuez les tâches suivantes :
- Configuration rapide de l’interface de ligne de commande
- Configuration du filtre de pare-feu IPv4
- Application du filtre de pare-feu IPv4 à une interface logique
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes de configuration suivantes dans un fichier texte, supprimez les sauts de ligne, puis collez-les dans l’interface de ligne de commande au niveau de la [edit] hiérarchie.
set firewall family inet filter ospf_or_131 term protocol_match from protocol ospf set firewall family inet filter ospf_or_131 term address-match from source-address 10.108.0.0/16 set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30 set interfaces ge-0/0/1 unit 0 family inet filter input ospf_or_131
Configuration du filtre de pare-feu IPv4
Procédure étape par étape
Pour configurer le filtre de pare-feu IPv4 :
Activez la configuration du filtre de pare-feu IPv4.
[edit] user@host# edit firewall family inet filter ospf_or_131
Configurez le premier terme pour qu’il accepte les paquets OSPF.
[edit firewall family inet filter ospf_or_131] user@host# set term protocol_match from protocol ospf
Les paquets qui correspondent à la condition sont acceptés par défaut. Étant donné qu’un autre terme suit ce terme, les paquets qui ne correspondent pas à cette condition sont évalués par le terme suivant.
Configurez le second terme pour qu’il accepte les paquets provenant de n’importe quelle adresse IPv4 dans un préfixe particulier.
[edit firewall family inet filter ospf_or_131] user@host# set term address_match from source-address 10.108.0.0/16
Les paquets qui correspondent à cette condition sont acceptés par défaut. Étant donné qu’il s’agit du dernier terme du filtre, les paquets qui ne correspondent pas à cette condition sont ignorés par défaut.
Résultats
Confirmez la configuration du filtre de pare-feu sans état en entrant la commande configuration show firewall mode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.
[edit]
user@host# show firewall
family inet {
filter ospf_or_131 {
term protocol_match {
from {
protocol ospf;
}
}
term address_match {
from {
source-address {
10.108.0.0/16;
}
}
}
}
}
Application du filtre de pare-feu IPv4 à une interface logique
Procédure étape par étape
Pour appliquer le filtre de pare-feu sans état à une interface logique :
Activer la configuration d’une interface logique.
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
Configurez une adresse IP pour l’interface logique.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
Appliquez le filtre de pare-feu IPv4 à l’interface logique.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input ospf_or_131
Résultats
Confirmez la configuration de l’interface en entrant la commande configuration show interfaces mode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.
[edit]
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family inet {
filter {
input ospf_or_131;
}
address 10.1.2.3/30;
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Pour vérifier que la configuration fonctionne correctement, entrez la commande de show firewall filter ospf_or_131 mode opérationnel.