Exemple : Configuration d’un filtre de pare-feu sans état pour accepter le trafic provenant de sources fiables
Cet exemple montre comment créer un filtre de pare-feu sans état qui protège le moteur de routage du trafic provenant de sources non fiables.
Conditions préalables
Aucune configuration spéciale au-delà de l’initialisation de l’équipement n’est requise avant de configurer des filtres de pare-feu sans état.
Présentation
Dans cet exemple, vous créez un filtre de pare-feu sans état appelé protect-RE qui rejette tout le trafic destiné au moteur de routage, à l’exception des paquets de protocoles SSH et BGP provenant de sources approuvées spécifiées. Cet exemple inclut les termes de filtre de pare-feu suivants :
ssh-term
: accepte les paquets TCP dont l’adresse192.168.122.0/24
source est et le port de destination spécifié SSH.bgp-term
: accepte les paquets TCP dont l’adresse10.2.1.0/24
source est et le port de destination qui spécifie BGP.discard-rest-term
: pour tous les paquets qui ne sont pas acceptés parssh-term
oubgp-term
, crée un journal de filtre de pare-feu et des enregistrements de journalisation système, puis ignore tous les paquets.
Vous pouvez déplacer des termes à l’intérieur du filtre de pare-feu à l’aide de la insert
commande. Voir l’insert dans le Guide de l’utilisateur de la CLI de Junos OS.
Configuration
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie.
set firewall family inet filter protect-RE term ssh-term from source-address 192.168.122.0/24 set firewall family inet filter protect-RE term ssh-term from protocol tcp set firewall family inet filter protect-RE term ssh-term from destination-port ssh set firewall family inet filter protect-RE term ssh-term then accept set firewall family inet filter protect-RE term bgp-term from source-address 10.2.1.0/24 set firewall family inet filter protect-RE term bgp-term from protocol tcp set firewall family inet filter protect-RE term bgp-term from destination-port bgp set firewall family inet filter protect-RE term bgp-term then accept set firewall family inet filter protect-RE term discard-rest-term then log set firewall family inet filter protect-RE term discard-rest-term then syslog set firewall family inet filter protect-RE term discard-rest-term then discard set interfaces lo0 unit 0 family inet filter input protect-RE
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous Utiliser l’éditeur CLI en mode configuration au Guide de l’utilisateur de l’interface de ligne de commande Junos OS.
Pour configurer le filtre de pare-feu sans état :
Créez le filtre de pare-feu sans état.
[edit] user@host# edit firewall family inet filter protect-RE
Créez le premier terme de filtre.
[edit firewall family inet filter protect-RE] user@host# edit term ssh-term
Définissez les conditions de correspondance du protocole, du port de destination et de l’adresse source pour le terme.
[edit firewall family inet filter protect-RE term ssh-term] user@host# set from protocol tcp destination-port ssh source-address 192.168.122.0/24
Définissez les actions pour le terme.
[edit firewall family inet filter protect-RE term ssh-term] user@host# set then accept
Créez le deuxième terme de filtre.
[edit firewall family inet filter protect-RE] user@host# edit term bgp-term
Définissez les conditions de correspondance du protocole, du port de destination et de l’adresse source pour le terme.
[edit firewall family inet filter protect-RE term bgp-term] user@host# set from protocol tcp destination-port bgp source-address 10.2.1.0/24
Définissez l’action pour le terme.
[edit firewall family inet filter protect-RE term bgp-term] user@host# set then accept
Créez le troisième terme de filtre.
[edit firewall family inet filter protect-RE] user@host# edit term discard-rest-term
Définissez l’action pour le terme.
[edit firewall family inet filter protect-RE term discard-rest] user@host# set then log syslog discard
Appliquez le filtre au côté entrée de l’interface du moteur de routage.
[edit] user@host# set interfaces lo0 unit 0 family inet filter input protect-RE
Résultats
Confirmez votre configuration en entrant la commande et la show firewall
show interfaces lo0
commande du mode de configuration. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
user@host# show firewall family inet { filter protect-RE { term ssh-term { from { source-address { 192.168.122.0/24; } protocol tcp; destination-port ssh; } then accept; } term bgp-term { from { source-address { 10.2.1.0/24; } protocol tcp; destination-port bgp; } then accept; } term discard-rest-term { then { log; syslog; discard; } } } }
user@host# show interfaces lo0 unit 0 { family inet { filter { input protect-RE; } address 127.0.0.1/32; } }
Si vous avez terminé de configurer l’appareil, passez commit
en mode de configuration.
[edit] user@host# commit
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les opérations suivantes :
- Affichage des configurations de filtre de pare-feu sans état
- Vérification d’un filtre de pare-feu de services, de protocoles et de sources fiables
- Affichage des journaux des filtres de pare-feu sans état
Affichage des configurations de filtre de pare-feu sans état
But
Vérifiez la configuration du filtre du pare-feu.
Action
À partir du mode configuration, entrez la commande et la show firewall
show interfaces lo0
commande.
Sens
Vérifiez que la sortie affiche la configuration prévue du filtre de pare-feu. En outre, vérifiez que les termes sont répertoriés dans l’ordre dans lequel vous souhaitez que les paquets soient testés. Vous pouvez déplacer des termes à l’intérieur d’un filtre de pare-feu à l’aide de la insert
commande CLI.
Vérification d’un filtre de pare-feu de services, de protocoles et de sources fiables
But
Vérifiez que les actions des termes de filtre du pare-feu sont prises.
Action
Envoyez des paquets à l’appareil qui correspondent aux conditions. En outre, vérifiez que les actions de filtrage sont not prises pour les paquets qui ne correspondent pas.
Utilisez la
ssh host-name
commande d’un hôte à une adresse IP qui correspond192.168.122.0/24
pour vérifier que vous pouvez vous connecter à l’appareil en utilisant uniquement SSH à partir d’un hôte avec ce préfixe d’adresse.Utilisez la
show route summary
commande pour vérifier que la table de routage sur le périphérique ne contient aucune entrée avec un protocole autre queDirect
,Local
,BGP
ouStatic
.
Exemple de sortie
nom_commande
% ssh 192.168.249.71 %ssh host user@host's password: --- JUNOS 6.4-20040518.0 (JSERIES) #0: 2004-05-18 09:27:50 UTC user@host>
nom_commande
user@host> show route summary Router ID: 192.168.249.71 inet.0: 34 destinations, 34 routes (33 active, 0 holddown, 1 hidden) Direct: 10 routes, 9 active Local: 9 routes, 9 active BGP: 10 routes, 10 active Static: 5 routes, 5 active ...
Sens
Vérifiez les informations suivantes :
Vous pouvez vous connecter à l’appareil à l’aide de SSH.
La
show route summary
commande n’affiche pas de protocole autre queDirect
,Local
,BGP
ouStatic
.
Affichage des journaux des filtres de pare-feu sans état
But
Vérifiez que les paquets sont consignés. Si vous avez inclus l’action log
ou syslog
dans un terme, vérifiez que les paquets correspondant au terme sont enregistrés dans le journal du pare-feu ou dans la fonction de journalisation de votre système.
Action
À partir du mode opérationnel, entrez la show firewall log
commande.
Exemple de sortie
nom_commande
user@host> show firewall log Log : Time Filter Action Interface Protocol Src Addr Dest Addr 15:11:02 pfe D ge-0/0/0.0 TCP 172.17.28.19 192.168.70.71 15:11:01 pfe D ge-0/0/0.0 TCP 172.17.28.19 192.168.70.71 15:11:01 pfe D ge-0/0/0.0 TCP 172.17.28.19 192.168.70.71 15:11:01 pfe D ge-0/0/0.0 TCP 172.17.28.19 192.168.70.71 ...
Sens
Chaque enregistrement de la sortie contient des informations sur le paquet consigné. Vérifiez les informations suivantes :
Sous
Time
, l’heure à laquelle le paquet a été filtré s’affiche.La
Filter
sortie est toujourspfe
.Sous
Action
, l’action configurée du terme correspond à l’action effectuée sur le paquet :A
(accepter),D
(ignorer), (rejeter).R
Sous
Interface
, l’interface entrante sur laquelle le paquet est arrivé est appropriée pour le filtre.Sous
Protocol
, le protocole de l’en-tête IP du paquet est approprié pour le filtre.Sous
Src Addr
, l’adresse source dans l’en-tête IP du paquet est appropriée pour le filtre.Sous
Dest Addr
, l’adresse de destination dans l’en-tête IP du paquet est appropriée pour le filtre.