Exemple : Configuration d’un filtre pour accepter les paquets DHCP en fonction de l’adresse
Cet exemple montre comment configurer un filtre de pare-feu sans état standard pour accepter des paquets provenant d’une source fiable.
Conditions préalables
Cet exemple est pris en charge uniquement sur les routeurs MX Series et les commutateurs EX Series.
Présentation
Dans cet exemple, vous allez créer un filtre (rpf_dhcp) qui accepte les paquets DHCP dont l’adresse source est et l’adresse de destination .0.0.0.0255.255.255.255
Configuration
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utiliser l’éditeur CLI en mode configuration.
- Configuration rapide de l’interface de ligne de commande
- Configurer le filtre de pare-feu sans état
- Appliquer le filtre de pare-feu à l’interface de bouclage
- Confirmez et validez la configuration de votre candidat
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes de configuration suivantes dans un fichier texte, supprimez les sauts de ligne, puis collez-les dans l’interface de ligne de commande au niveau de la [edit] hiérarchie.
set firewall family inet filter rpf_dhcp term dhcp_term from source-address 0.0.0.0/32 set firewall family inet filter rpf_dhcp term dhcp_term from destination-address 255.255.255.255/32 set firewall family inet filter rpf_dhcp term dhcp_term then accept set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30 set interfaces ge-0/0/1 unit 0 family inet filter input sam
Configurer le filtre de pare-feu sans état
Procédure étape par étape
Pour configurer le filtre de pare-feu sans état :
Créez le filtre
rpf_dhcpde pare-feu sans état .[edit] user@host# edit firewall family inet filter rpf_dhcp
Configurez le terme pour faire correspondre les paquets dont l’adresse source est et l’adresse de destination est
0.0.0.0255.255.255.255.[edit firewall family inet filter rpf_dhcp] user@host# set term dhcp_term from source-address 0.0.0.0/32 user@host# set term dhcp_term from destination-address 255.255.255.255/32
Configurez le terme pour accepter les paquets qui correspondent aux conditions spécifiées.
[edit firewall family inet filter rpf_dhcp] set term dhcp_term then accept
Appliquer le filtre de pare-feu à l’interface de bouclage
Procédure étape par étape
Pour appliquer le filtre à l’entrée de l’interface de bouclage :
Appliquez le filtre si les paquets n’arrivent pas sur le
rpf_dhcpchemin attendu.[edit] user@host# set interfaces lo0 unit 0 family inet rpf-check fail-filter rpf_dhcp
Configurez une adresse pour l’interface de bouclage.
[edit] user@host# set interfaces lo0 unit 0 family inet address 127.0.0.1/32
Confirmez et validez la configuration de votre candidat
Procédure étape par étape
Pour confirmer, puis valider la configuration de votre candidat :
Confirmez la configuration du filtre de pare-feu sans état en entrant la commande configuration
show firewallmode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.[edit] user@host# show firewall family inet { filter rpf_dhcp { term dhcp_term { from { source-address { 0.0.0.0/32; } destination-address { 255.255.255.255/32; } } then accept; } } }Confirmez la configuration de l’interface en entrant la commande configuration
show interfacesmode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.[edit] user@host# show interfaces lo0 { unit 0 { family inet { filter { rpf-check { fail-filter rpf_dhcp; mode loose; } } address 127.0.0.1/32; } } }Lorsque vous avez terminé de configurer l’appareil, validez votre configuration candidate.
[edit] user@host# commit
Vérification
Pour vérifier que la configuration fonctionne correctement, entrez la commande de show firewall mode opérationnel.