Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemple: Configuration d’un filtre de pare-feu sans état pour accepter le trafic provenant de sources fiables

Cet exemple montre comment créer un filtre de pare-feu sans état qui protège l’moteur de routage du trafic provenant de sources non fiables.

Conditions préalables

Aucune configuration particulière au-delà de l’initialisation de l’équipement n’est requise avant de configurer des filtres de pare-feu sans état.

Présentation

Dans cet exemple, vous créez un filtre de pare-feu sans état appelé Protect-RE qui rejette tout le trafic destiné à l’moteur de routage à l’exception des paquets de protocoles SSH et BGP de sources fiables spécifiées. Cet exemple comprend les termes de filtre de pare-feu suivants:

  • ssh-term— Accepte les paquets TCP avec une adresse source et un port de destination qui 192.168.122.0/24 spécifie SSH.

  • bgp-term— Accepte les paquets TCP avec une adresse source et un port de destination qui 10.2.1.0/24 BGP.

  • discard-rest-term—Pour tous les paquets non acceptés par ou , crée un journal de filtre de pare-feu et des enregistrements de journalisation système, puis ssh-termbgp-term écarte tous les paquets.

Remarque :

Vous pouvez déplacer les termes dans le filtre de pare-feu à l’aide de la insert commande. Consultez l’insérer dans le Junos OS CLI User Guide.

Configuration

Procédure

CLI configuration rapide

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les interruptions de ligne, modifiez tous les détails nécessaires pour correspondre à votre configuration réseau, puis copiez/collez les commandes dans le CLI au niveau de la [edit] hiérarchie.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer dans différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la manière de le faire, Utilisation du CLI éditeur dans le mode configuration consultez le Junos OS CLI’utilisateur.

Pour configurer le filtre de pare-feu sans état:

  1. Créez le filtre de pare-feu sans état.

  2. Créez le premier terme filtre.

  3. Définir les conditions de correspondance du protocole, du port de destination et de l’adresse source pour cette durée.

  4. Définir les actions du terme.

  5. Créez le deuxième terme filtre.

  6. Définir les conditions de correspondance du protocole, du port de destination et de l’adresse source pour cette durée.

  7. Définir l’action pour le terme.

  8. Créez le troisième terme filtre.

  9. Définir l’action pour le terme.

  10. Appliquez le filtre à l’entrée de l moteur de routage interface.

Résultats

Confirmez votre configuration en entrant la commande et la commande show firewall depuis le mode de show interfaces lo0 configuration. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Si vous avez terminé la configuration de l’équipement, commit saisissez-le en mode de configuration.

Vérification

Pour vérifier que la configuration fonctionne correctement, exécutez les tâches suivantes:

Affichage des configurations de filtres de pare-feu sans état

But

Vérifier la configuration du filtre de pare-feu.

Action

À partir du mode de configuration, show firewall saisissez la commande et la show interfaces lo0 commande.

Sens

Vérifiez que la sortie affiche la configuration prévue du filtre de pare-feu. Vérifiez également que les termes sont répertoriés dans l’ordre dans lequel vous souhaitez tester les paquets. Vous pouvez déplacer les termes dans un filtre de pare-feu à l’aide insert CLI commande.

Vérification d’un filtre de pare-feu services, protocoles et sources de confiance

But

Vérifiez que les conditions du filtre de pare-feu sont prises.

Action

Envoyez des paquets à l’équipement qui correspondent aux conditions. Vérifiez également que les actions de filtre ne sont pas prises pour les paquets qui ne correspondent pas.

  • Utilisez la commande d’un hôte à l’adresse IP qui correspond pour vérifier que vous pouvez vous connecter à l’équipement en utilisant uniquement le protocole SSH à partir d’un hôte utilisant ce ssh host-name192.168.122.0/24 préfixe d’adresse.

  • Utilisez la commande pour vérifier que la table de routage de l’équipement ne contient aucune entrée avec un autre show route summary protocole que , ou DirectLocalBGPStatic .

Exemple de sortie
nom de commande
nom de commande

Sens

Vérifier les informations suivantes:

  • Avec SSH, vous pouvez vous connecter à l’équipement.

  • La show route summary commande n’affiche pas un autre protocole que Direct , ou LocalBGPStatic .

Affichage des journaux de filtres de pare-feu sans état

But

Vérifiez que les paquets sont enregistrés. Si vous avez inclus l’action ou l’action dans un terme, vérifiez que les paquets correspondant au terme sont enregistrés dans le journal du pare-feu ou dans votre installation de logsyslog journalisation système.

Action

À partir du mode opérationnel, saisissez la show firewall log commande.

Exemple de sortie
nom de commande

Sens

Chaque enregistrement contient des informations sur le paquet enregistré. Vérifier les informations suivantes:

  • Dans Time le cas ci-dessous, le moment de la journée où le paquet a été filtré est affiché.

  • La Filter sortie est toujours . pfe

  • En vertu de , l’action configurée du terme correspond à l’action prise sur le Action paquet: A (accepter), D (rejeter), R (rejeter).

  • Sous Interface , l’interface entrante (entrante) sur laquelle le paquet est arrivé est appropriée pour le filtre.

  • Sous Protocol , le protocole de l’en-tête IP du paquet est approprié pour le filtre.

  • Sous Src Addr , l’adresse source dans l’en-tête IP du paquet est appropriée pour le filtre.

  • Dest AddrL’adresse de destination dans l’en-tête IP du paquet est appropriée pour le filtre.