Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemple : Configuration d’un filtre de pare-feu sans état pour accepter le trafic provenant de sources fiables

Cet exemple montre comment créer un filtre de pare-feu sans état qui protège le moteur de routage du trafic provenant de sources non fiables.

Conditions préalables

Avant de configurer les filtres de pare-feu sans état, aucune configuration spéciale au-delà de l’initialisation de l’équipement n’est requise.

Présentation

Dans cet exemple, vous créez un filtre de pare-feu sans état appelé protect-RE qui élimine tout le trafic destiné au moteur de routage, à l’exception des paquets de protocole SSH et BGP provenant de sources fiables spécifiées. Cet exemple inclut les termes de filtre de pare-feu suivants :

  • ssh-term: accepte les paquets TCP avec une adresse source et un port de 192.168.122.0/24 destination qui spécifie SSH.

  • bgp-term: accepte les paquets TCP avec une adresse source et un port de 10.2.1.0/24 destination qui spécifie BGP.

  • discard-rest-term: pour tous les paquets qui ne sont pas acceptés par ssh-term ou bgp-term, crée un journal de filtre de pare-feu et des enregistrements de journalisation du système, puis élimine tous les paquets.

REMARQUE :

Vous pouvez déplacer des termes dans le filtre de pare-feu à l’aide de la insert commande. Voir insérer dans le guide de l’utilisateur junos OS CLI.

Configuration

Procédure

Configuration rapide cli

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour correspondre à votre configuration réseau, puis copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie.

Procédure étape par étape

Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, consultez Utiliser l’éditeur CLI en mode configuration le Guide de l’utilisateur de junos OS CLI.

Pour configurer le filtre de pare-feu sans état :

  1. Créez le filtre de pare-feu sans état.

  2. Créez le premier terme de filtre.

  3. Définissez les conditions de correspondance du protocole, du port de destination et de l’adresse source pour le terme.

  4. Définissez les actions du terme.

  5. Créez le deuxième terme de filtre.

  6. Définissez les conditions de correspondance du protocole, du port de destination et de l’adresse source pour le terme.

  7. Définissez l’action du terme.

  8. Créez le troisième terme de filtre.

  9. Définissez l’action du terme.

  10. Appliquez le filtre à l’entrée de l’interface du moteur de routage.

Résultats

Confirmez votre configuration en entrant la show firewall commande et la commande depuis le show interfaces lo0 mode de configuration. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.

Vérification

Pour vérifier que la configuration fonctionne correctement, effectuez les tâches suivantes :

Affichage des configurations de filtre de pare-feu sans état

But

Vérifiez la configuration du filtre de pare-feu.

Action

Depuis le mode de configuration, saisissez la show firewall commande et la show interfaces lo0 commande.

Sens

Vérifiez que la sortie indique la configuration prévue du filtre de pare-feu. En outre, vérifiez que les termes sont répertoriés dans l’ordre dans lequel vous souhaitez que les paquets soient testés. Vous pouvez déplacer des termes dans un filtre de pare-feu à l’aide de la insert commande CLI.

Vérification d’un filtre de pare-feu de services, de protocoles et de sources de confiance

But

Vérifiez que les actions des termes du filtre de pare-feu sont bien effectuées.

Action

Envoyez des paquets à l’équipement qui correspondent aux conditions. En outre, vérifiez que les actions de filtrage sont not effectuées pour les paquets qui ne correspondent pas.

  • Utilisez la ssh host-name commande d’un hôte à l’adresse IP correspondant 192.168.122.0/24 pour vérifier que vous pouvez vous connecter à l’équipement à l’aide de SSH uniquement à partir d’un hôte avec ce préfixe d’adresse.

  • Utilisez la show route summary commande pour vérifier que la table de routage sur l’équipement ne contient aucune entrée avec un protocole autre que Direct, Local, BGPou Static.

Exemple de sortie
nom-commande
nom-commande

Sens

Vérifiez les informations suivantes :

  • Vous pouvez vous connecter à l’équipement à l’aide de SSH.

  • La show route summary commande n’affiche pas de protocole autre que Direct, Local, BGPou Static.

Affichage des journaux des filtres de pare-feu sans état

But

Vérifiez que les paquets sont enregistrés. Si vous avez inclus l’action ou syslog l’action log dans un terme, vérifiez que les paquets correspondant au terme sont enregistrés dans le journal du pare-feu ou dans votre installation de journalisation du système.

Action

Depuis le mode opérationnel, saisissez la show firewall log commande.

Exemple de sortie
nom-commande

Sens

Chaque enregistrement de la sortie contient des informations sur le paquet journalisé. Vérifiez les informations suivantes :

  • Sous Time, l’heure de la journée où le paquet a été filtré est affichée.

  • Le Filter résultat est toujours pfe.

  • Sous Action, l’action configurée du terme correspond à l’action effectuée sur le paquet—A (accepter), D (rejeter). R

  • Sous Interface, l’interface entrante (entrante) sur laquelle le paquet est arrivé est appropriée pour le filtre.

  • Sous Protocol, le protocole dans l’en-tête IP du paquet est approprié pour le filtre.

  • Sous Src Addr, l’adresse source dans l’en-tête IP du paquet est appropriée pour le filtre.

  • Sous Dest Addr, l’adresse de destination dans l’en-tête IP du paquet est appropriée pour le filtre.