Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Sur cette page
 

Exemple : Configuration d’un filtre de pare-feu sans état pour accepter le trafic provenant de sources fiables

Cet exemple montre comment créer un filtre de pare-feu sans état qui protège le moteur de routage du trafic provenant de sources non fiables.

Conditions préalables

Aucune configuration spéciale au-delà de l’initialisation de l’équipement n’est requise avant de configurer des filtres de pare-feu sans état.

Présentation

Dans cet exemple, vous créez un filtre de pare-feu sans état appelé protect-RE qui rejette tout le trafic destiné au moteur de routage, à l’exception des paquets de protocoles SSH et BGP provenant de sources approuvées spécifiées. Cet exemple inclut les termes de filtre de pare-feu suivants :

  • ssh-term: accepte les paquets TCP dont l’adresse 192.168.122.0/24 source est et le port de destination spécifié SSH.

  • bgp-term: accepte les paquets TCP dont l’adresse 10.2.1.0/24 source est et le port de destination qui spécifie BGP.

  • discard-rest-term: pour tous les paquets qui ne sont pas acceptés par ssh-term ou bgp-term, crée un journal de filtre de pare-feu et des enregistrements de journalisation système, puis ignore tous les paquets.

REMARQUE :

Vous pouvez déplacer des termes à l’intérieur du filtre de pare-feu à l’aide de la insert commande. Voir l’insert dans le Guide de l’utilisateur de la CLI de Junos OS.

Configuration

Procédure

Configuration rapide de l’interface de ligne de commande

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous Utiliser l’éditeur CLI en mode configuration au Guide de l’utilisateur de l’interface de ligne de commande Junos OS.

Pour configurer le filtre de pare-feu sans état :

  1. Créez le filtre de pare-feu sans état.

  2. Créez le premier terme de filtre.

  3. Définissez les conditions de correspondance du protocole, du port de destination et de l’adresse source pour le terme.

  4. Définissez les actions pour le terme.

  5. Créez le deuxième terme de filtre.

  6. Définissez les conditions de correspondance du protocole, du port de destination et de l’adresse source pour le terme.

  7. Définissez l’action pour le terme.

  8. Créez le troisième terme de filtre.

  9. Définissez l’action pour le terme.

  10. Appliquez le filtre au côté entrée de l’interface du moteur de routage.

Résultats

Confirmez votre configuration en entrant la commande et la show firewallshow interfaces lo0 commande du mode de configuration. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.

Vérification

Pour vérifier que la configuration fonctionne correctement, effectuez les opérations suivantes :

Affichage des configurations de filtre de pare-feu sans état

But

Vérifiez la configuration du filtre du pare-feu.

Action

À partir du mode configuration, entrez la commande et la show firewallshow interfaces lo0 commande.

Sens

Vérifiez que la sortie affiche la configuration prévue du filtre de pare-feu. En outre, vérifiez que les termes sont répertoriés dans l’ordre dans lequel vous souhaitez que les paquets soient testés. Vous pouvez déplacer des termes à l’intérieur d’un filtre de pare-feu à l’aide de la insert commande CLI.

Vérification d’un filtre de pare-feu de services, de protocoles et de sources fiables

But

Vérifiez que les actions des termes de filtre du pare-feu sont prises.

Action

Envoyez des paquets à l’appareil qui correspondent aux conditions. En outre, vérifiez que les actions de filtrage sont not prises pour les paquets qui ne correspondent pas.

  • Utilisez la ssh host-name commande d’un hôte à une adresse IP qui correspond 192.168.122.0/24 pour vérifier que vous pouvez vous connecter à l’appareil en utilisant uniquement SSH à partir d’un hôte avec ce préfixe d’adresse.

  • Utilisez la show route summary commande pour vérifier que la table de routage sur le périphérique ne contient aucune entrée avec un protocole autre que Direct, Local, BGPou Static.

Exemple de sortie
nom_commande
nom_commande

Sens

Vérifiez les informations suivantes :

  • Vous pouvez vous connecter à l’appareil à l’aide de SSH.

  • La show route summary commande n’affiche pas de protocole autre que Direct, Local, BGPou Static.

Affichage des journaux des filtres de pare-feu sans état

But

Vérifiez que les paquets sont consignés. Si vous avez inclus l’action log ou syslog dans un terme, vérifiez que les paquets correspondant au terme sont enregistrés dans le journal du pare-feu ou dans la fonction de journalisation de votre système.

Action

À partir du mode opérationnel, entrez la show firewall log commande.

Exemple de sortie
nom_commande

Sens

Chaque enregistrement de la sortie contient des informations sur le paquet consigné. Vérifiez les informations suivantes :

  • Sous Time, l’heure à laquelle le paquet a été filtré s’affiche.

  • La Filter sortie est toujours pfe.

  • Sous Action, l’action configurée du terme correspond à l’action effectuée sur le paquet :A (accepter), D (ignorer), (rejeter). R

  • Sous Interface, l’interface entrante sur laquelle le paquet est arrivé est appropriée pour le filtre.

  • Sous Protocol, le protocole de l’en-tête IP du paquet est approprié pour le filtre.

  • Sous Src Addr, l’adresse source dans l’en-tête IP du paquet est appropriée pour le filtre.

  • Sous Dest Addr, l’adresse de destination dans l’en-tête IP du paquet est appropriée pour le filtre.

Rubriques connexes