Exemple : Configuration d’un filtre pour accepter les paquets OSPF à partir d’un préfixe
Cet exemple montre comment configurer un filtre de pare-feu sans état standard pour accepter des paquets provenant d’une source fiable.
Conditions préalables
Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de configurer cet exemple.
Présentation
Dans cet exemple, vous créez un filtre qui accepte uniquement les paquets OSPF provenant d’une adresse figurant dans le préfixe 10.108.0.0/16, en rejetant tous les autres paquets avec un administratively-prohibited message ICMP
Configuration
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utiliser l’éditeur CLI en mode configuration.
Pour configurer cet exemple, effectuez les tâches suivantes :
- Configuration rapide de l’interface de ligne de commande
- Configurer le filtre de pare-feu sans état
- Appliquer le filtre de pare-feu à l’interface de bouclage
- Confirmez et validez la configuration de votre candidat
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes de configuration suivantes dans un fichier texte, supprimez les sauts de ligne, puis collez-les dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie.
set firewall family inet filter ospf_filter term term1 from source-address 10.108.0.0/16 set firewall family inet filter ospf_filter term term1 from protocol ospf set firewall family inet filter ospf_filter term term1 then accept set firewall family inet filter ospf_filter term default-term then reject administratively-prohibited set interfaces lo0 unit 0 family inet address 10.1.2.3/30 set interfaces lo0 unit 0 family inet filter input ospf_filter
Configurer le filtre de pare-feu sans état
Procédure étape par étape
Pour configurer le filtre ospf_filter
du pare-feu sans état :
Créez le filtre.
[edit] user@host# edit firewall family inet filter ospf_filter
Configurez le terme qui accepte les paquets.
[edit firewall family inet filter ospf_filter] user@host# set term term1 from source-address 10.108.0.0/16 user@host# set term term1 from protocol ospf user@host# set term term1 then accept
Configurez le terme qui rejette tous les autres paquets.
[edit firewall family inet filter ospf_filter] user@host# set term default_term then reject administratively-prohibited
Appliquer le filtre de pare-feu à l’interface de bouclage
Procédure étape par étape
Pour appliquer le filtre de pare-feu à l’interface de bouclage :
Configurez l’interface.
[edit] user@host# edit interfaces lo0 unit 0 family inet
Configurez l’adresse IP de l’interface logique.
[edit interfaces lo0 unit 0 family inet] user@host# set address 10.1.2.3/30
Appliquez le filtre à l’entrée.
[edit interfaces lo0 unit 0 family inet] user@host# set filter input ospf_filter
Confirmez et validez la configuration de votre candidat
Procédure étape par étape
Pour confirmer, puis valider la configuration de votre candidat :
Confirmez la configuration du filtre de pare-feu sans état en entrant la commande configuration
show firewall
mode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.[edit] user@host# show firewall family inet { filter ospf_filter { term term1 { from { source-address { 10.108.0.0/16; } protocol ospf; } then { accept; } } term default_term { then { reject administratively-prohibited; # default reject action } } } }
Confirmez la configuration de l’interface en entrant la commande configuration
show interfaces
mode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.[edit] user@host# show interfaces lo0 { unit 0 { family inet { filter { input ospf_filter; } address 10.1.2.3/30; } } }
Si vous avez terminé de configurer l’appareil, validez votre configuration candidate.
[edit] user@host# commit
Vérification
Pour vérifier que la configuration fonctionne correctement, entrez la commande de show firewall filter ospf_filter
mode opérationnel.