Exemple : Configuration d’un filtre de pare-feu sans état pour accepter le trafic provenant de sources fiables
Cet exemple montre comment créer un filtre de pare-feu sans état qui protège le moteur de routage du trafic provenant de sources non fiables.
Conditions préalables
Avant de configurer les filtres de pare-feu sans état, aucune configuration spéciale au-delà de l’initialisation de l’équipement n’est requise.
Présentation
Dans cet exemple, vous créez un filtre de pare-feu sans état appelé protect-RE qui élimine tout le trafic destiné au moteur de routage, à l’exception des paquets de protocole SSH et BGP provenant de sources fiables spécifiées. Cet exemple inclut les termes de filtre de pare-feu suivants :
ssh-term
: accepte les paquets TCP avec une adresse source et un port de192.168.122.0/24
destination qui spécifie SSH.bgp-term
: accepte les paquets TCP avec une adresse source et un port de10.2.1.0/24
destination qui spécifie BGP.discard-rest-term
: pour tous les paquets qui ne sont pas acceptés parssh-term
oubgp-term
, crée un journal de filtre de pare-feu et des enregistrements de journalisation du système, puis élimine tous les paquets.
Vous pouvez déplacer des termes dans le filtre de pare-feu à l’aide de la insert
commande. Voir insérer dans le guide de l’utilisateur junos OS CLI.
Configuration
Procédure
Configuration rapide cli
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour correspondre à votre configuration réseau, puis copiez et collez les commandes dans la CLI au niveau de la [edit]
hiérarchie.
set firewall family inet filter protect-RE term ssh-term from source-address 192.168.122.0/24 set firewall family inet filter protect-RE term ssh-term from protocol tcp set firewall family inet filter protect-RE term ssh-term from destination-port ssh set firewall family inet filter protect-RE term ssh-term then accept set firewall family inet filter protect-RE term bgp-term from source-address 10.2.1.0/24 set firewall family inet filter protect-RE term bgp-term from protocol tcp set firewall family inet filter protect-RE term bgp-term from destination-port bgp set firewall family inet filter protect-RE term bgp-term then accept set firewall family inet filter protect-RE term discard-rest-term then log set firewall family inet filter protect-RE term discard-rest-term then syslog set firewall family inet filter protect-RE term discard-rest-term then discard set interfaces lo0 unit 0 family inet filter input protect-RE
Procédure étape par étape
Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, consultez Utiliser l’éditeur CLI en mode configuration le Guide de l’utilisateur de junos OS CLI.
Pour configurer le filtre de pare-feu sans état :
Créez le filtre de pare-feu sans état.
[edit] user@host# edit firewall family inet filter protect-RE
Créez le premier terme de filtre.
[edit firewall family inet filter protect-RE] user@host# edit term ssh-term
Définissez les conditions de correspondance du protocole, du port de destination et de l’adresse source pour le terme.
[edit firewall family inet filter protect-RE term ssh-term] user@host# set from protocol tcp destination-port ssh source-address 192.168.122.0/24
Définissez les actions du terme.
[edit firewall family inet filter protect-RE term ssh-term] user@host# set then accept
Créez le deuxième terme de filtre.
[edit firewall family inet filter protect-RE] user@host# edit term bgp-term
Définissez les conditions de correspondance du protocole, du port de destination et de l’adresse source pour le terme.
[edit firewall family inet filter protect-RE term bgp-term] user@host# set from protocol tcp destination-port bgp source-address 10.2.1.0/24
Définissez l’action du terme.
[edit firewall family inet filter protect-RE term bgp-term] user@host# set then accept
Créez le troisième terme de filtre.
[edit firewall family inet filter protect-RE] user@host# edit term discard-rest-term
Définissez l’action du terme.
[edit firewall family inet filter protect-RE term discard-rest] user@host# set then log syslog discard
Appliquez le filtre à l’entrée de l’interface du moteur de routage.
[edit] user@host# set interfaces lo0 unit 0 family inet filter input protect-RE
Résultats
Confirmez votre configuration en entrant la show firewall
commande et la commande depuis le show interfaces lo0
mode de configuration. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
user@host# show firewall family inet { filter protect-RE { term ssh-term { from { source-address { 192.168.122.0/24; } protocol tcp; destination-port ssh; } then accept; } term bgp-term { from { source-address { 10.2.1.0/24; } protocol tcp; destination-port bgp; } then accept; } term discard-rest-term { then { log; syslog; discard; } } } }
user@host# show interfaces lo0 unit 0 { family inet { filter { input protect-RE; } address 127.0.0.1/32; } }
Si vous avez fini de configurer l’équipement, saisissez commit
à partir du mode de configuration.
[edit] user@host# commit
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les tâches suivantes :
- Affichage des configurations de filtre de pare-feu sans état
- Vérification d’un filtre de pare-feu de services, de protocoles et de sources de confiance
- Affichage des journaux des filtres de pare-feu sans état
Affichage des configurations de filtre de pare-feu sans état
But
Vérifiez la configuration du filtre de pare-feu.
Action
Depuis le mode de configuration, saisissez la show firewall
commande et la show interfaces lo0
commande.
Sens
Vérifiez que la sortie indique la configuration prévue du filtre de pare-feu. En outre, vérifiez que les termes sont répertoriés dans l’ordre dans lequel vous souhaitez que les paquets soient testés. Vous pouvez déplacer des termes dans un filtre de pare-feu à l’aide de la insert
commande CLI.
Vérification d’un filtre de pare-feu de services, de protocoles et de sources de confiance
But
Vérifiez que les actions des termes du filtre de pare-feu sont bien effectuées.
Action
Envoyez des paquets à l’équipement qui correspondent aux conditions. En outre, vérifiez que les actions de filtrage sont not effectuées pour les paquets qui ne correspondent pas.
Utilisez la
ssh host-name
commande d’un hôte à l’adresse IP correspondant192.168.122.0/24
pour vérifier que vous pouvez vous connecter à l’équipement à l’aide de SSH uniquement à partir d’un hôte avec ce préfixe d’adresse.Utilisez la
show route summary
commande pour vérifier que la table de routage sur l’équipement ne contient aucune entrée avec un protocole autre queDirect
,Local
,BGP
ouStatic
.
Exemple de sortie
nom-commande
% ssh 192.168.249.71 %ssh host user@host's password: --- JUNOS 6.4-20040518.0 (JSERIES) #0: 2004-05-18 09:27:50 UTC user@host>
nom-commande
user@host> show route summary Router ID: 192.168.249.71 inet.0: 34 destinations, 34 routes (33 active, 0 holddown, 1 hidden) Direct: 10 routes, 9 active Local: 9 routes, 9 active BGP: 10 routes, 10 active Static: 5 routes, 5 active ...
Sens
Vérifiez les informations suivantes :
Vous pouvez vous connecter à l’équipement à l’aide de SSH.
La
show route summary
commande n’affiche pas de protocole autre queDirect
,Local
,BGP
ouStatic
.
Affichage des journaux des filtres de pare-feu sans état
But
Vérifiez que les paquets sont enregistrés. Si vous avez inclus l’action ou syslog
l’action log
dans un terme, vérifiez que les paquets correspondant au terme sont enregistrés dans le journal du pare-feu ou dans votre installation de journalisation du système.
Action
Depuis le mode opérationnel, saisissez la show firewall log
commande.
Exemple de sortie
nom-commande
user@host> show firewall log Log : Time Filter Action Interface Protocol Src Addr Dest Addr 15:11:02 pfe D ge-0/0/0.0 TCP 172.17.28.19 192.168.70.71 15:11:01 pfe D ge-0/0/0.0 TCP 172.17.28.19 192.168.70.71 15:11:01 pfe D ge-0/0/0.0 TCP 172.17.28.19 192.168.70.71 15:11:01 pfe D ge-0/0/0.0 TCP 172.17.28.19 192.168.70.71 ...
Sens
Chaque enregistrement de la sortie contient des informations sur le paquet journalisé. Vérifiez les informations suivantes :
Sous
Time
, l’heure de la journée où le paquet a été filtré est affichée.Le
Filter
résultat est toujourspfe
.Sous
Action
, l’action configurée du terme correspond à l’action effectuée sur le paquet—A
(accepter),D
(rejeter).R
Sous
Interface
, l’interface entrante (entrante) sur laquelle le paquet est arrivé est appropriée pour le filtre.Sous
Protocol
, le protocole dans l’en-tête IP du paquet est approprié pour le filtre.Sous
Src Addr
, l’adresse source dans l’en-tête IP du paquet est appropriée pour le filtre.Sous
Dest Addr
, l’adresse de destination dans l’en-tête IP du paquet est appropriée pour le filtre.