Exemple : Configuration d’un filtre pour bloquer l’accès TFTP
Conditions préalables
Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de configurer cet exemple.
Présentation
Par défaut, pour réduire la vulnérabilité aux attaques par déni de service (DoS), Junos OS filtre et ignore les paquets DHCP (Dynamic Host Configuration Protocol) ou BOOTP (Bootstrap Protocol) dont l’adresse source est 0.0.0.0 et l’adresse de destination 255.255.255.255. Ce filtre par défaut est connu sous le nom de vérification RPF unicast. Cependant, l’équipement de certains fournisseurs accepte automatiquement ces paquets.
Topologie
Pour interagir avec les équipements d’autres fournisseurs, vous pouvez configurer un filtre qui vérifie ces deux adresses et remplace le filtre RPF-check par défaut en acceptant ces paquets. Dans cet exemple, vous bloquez l’accès au protocole TFTP (Trivial File Transfer Protocol) en consignant toute tentative d’établissement de connexions TFTP.
Configuration
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utiliser l’éditeur CLI en mode configuration.
Pour configurer cet exemple, effectuez les tâches suivantes :
- Configuration rapide de l’interface de ligne de commande
- Configurer le filtre de pare-feu sans état
- Appliquer le filtre de pare-feu à l’interface de bouclage
- Confirmez et validez la configuration de votre candidat
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes de configuration suivantes dans un fichier texte, supprimez les sauts de ligne, puis collez-les dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie.
set firewall family inet filter tftp_access_control term one from protocol udp set firewall family inet filter tftp_access_control term one from port tftp set firewall family inet filter tftp_access_control term one then log set firewall family inet filter tftp_access_control term one then discard set interfaces lo0 unit 0 family inet filter input tftp_access_control set interfaces lo0 unit 0 family inet address 127.0.0.1/32
Configurer le filtre de pare-feu sans état
Procédure étape par étape
Pour configurer le filtre de pare-feu sans état qui bloque sélectivement l’accès TFTP :
Créez le filtre
tftp_access_control
de pare-feu sans état .[edit] user@host# edit firewall family inet filter tftp_access_control
Spécifiez une correspondance sur les paquets reçus sur le port UDP 69.
[edit firewall family inet filter tftp_access_control] user@host# set term one from protocol udp user@host# set term one from port tftp
Spécifiez que les paquets correspondants doivent être consignés dans la mémoire tampon du moteur de transfert de paquets, puis ignorés.
[edit firewall family inet filter tftp_access_control] user@host# set term one then log user@host# set term one then discard
Appliquer le filtre de pare-feu à l’interface de bouclage
Procédure étape par étape
Pour appliquer le filtre de pare-feu à l’interface de bouclage :
[edit] user@host# set interfaces lo0 unit 0 family inet filter input tftp_access_control user@host# set interfaces lo0 unit 0 family inet address 127.0.0.1/32
Confirmez et validez la configuration de votre candidat
Procédure étape par étape
Pour confirmer, puis valider la configuration de votre candidat :
Confirmez la configuration du filtre de pare-feu sans état en entrant la commande configuration
show firewall
mode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.[edit] user@host# show firewall family inet { filter tftp_access_control { term one { from { protocol udp; port tftp; } then { log; discard; } } } }
Confirmez la configuration de l’interface en entrant la commande configuration
show interfaces
mode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.[edit] user@host# show interfaces lo0 { unit 0 { family inet { filter { input tftp_access_control; } address 127.0.0.1/32; } } }
Si vous avez terminé de configurer l’appareil, validez votre configuration candidate.
[edit] user@host# commit
Vérification
Vérifiez que la configuration fonctionne correctement :
Vérification des paquets consignés et rejetés
But
Vérifiez que les actions des termes de filtre du pare-feu sont prises.
Action
À
Effacez le journal du pare-feu sur votre routeur ou commutateur.
user@myhost> clear firewall log
À partir d’un autre hôte, envoyez un paquet vers le port
69
UDP de ce routeur ou commutateur.