Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemple : Configuration d’un filtre pour bloquer l’accès TFTP

Conditions préalables

Aucune configuration spéciale au-delà de l’initialisation de l’équipement n’est nécessaire avant de configurer cet exemple.

Présentation

Par défaut, pour réduire la vulnérabilité aux attaques par déni de service (DoS), Junos OS filtre et écarte les paquets DHCP (Dynamic Host Configuration Protocol) ou Bootstrap Protocol (BOOTP) dont l’adresse source est 0.0.0.0 et l’adresse de destination 255.255.255.255. Ce filtre par défaut est connu sous le nom de vérification RPF unicast. Cependant, l’équipement de certains fournisseurs accepte automatiquement ces paquets.

topologie

Pour interagir avec l’équipement d’autres fournisseurs, vous pouvez configurer un filtre qui vérifie ces deux adresses et remplace le filtre de vérification RPF par défaut en acceptant ces paquets. Dans cet exemple, vous bloquez l’accès TFTP (Trivial File Transfer Protocol) en enregistrant toute tentative d’établir des connexions TFTP.

Configuration

Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour plus d’informations sur la navigation sur la CLI, reportez-vous à la section Utiliser l’éditeur CLI en mode configuration.

Pour configurer cet exemple, effectuez les tâches suivantes :

Configuration rapide cli

Pour configurer rapidement cet exemple, copiez les commandes de configuration suivantes dans un fichier texte, supprimez les sauts de ligne, puis collez les commandes dans la CLI au niveau de la [edit] hiérarchie.

Configurer le filtre de pare-feu sans état

Procédure étape par étape

Pour configurer le filtre de pare-feu sans état qui bloque sélectivement l’accès TFTP :

  1. Créez le filtre de pare-feu sans état tftp_access_control.

  2. Spécifiez une correspondance sur les paquets reçus sur le port UDP 69.

  3. Spécifiez que les paquets correspondants sont enregistrés dans la mémoire tampon du moteur de transfert de paquets, puis jetés.

Appliquez le filtre de pare-feu à l’interface de bouclage

Procédure étape par étape

Pour appliquer le filtre de pare-feu à l’interface de bouclage :

Confirmez et validez votre configuration de candidat

Procédure étape par étape

Pour confirmer puis valider la configuration de votre candidat :

  1. Confirmez la configuration du filtre de pare-feu sans état en entrant la commande du mode de show firewall configuration. Si la commande sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

  2. Confirmez la configuration de l’interface en entrant la commande du show interfaces mode de configuration. Si la commande sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

  3. Si vous avez fini de configurer l’équipement, validez la configuration de votre candidat.

Vérification

Vérifiez que la configuration fonctionne correctement :

Vérification des paquets enregistrés et jetés

But

Vérifiez que les actions des termes du filtre de pare-feu sont bien effectuées.

Action

À

  1. Effacez la connexion du pare-feu sur votre routeur ou commutateur.

  2. Depuis un autre hôte, envoyez un paquet au port 69 UDP de ce routeur ou commutateur.