Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemple : Configuration d’un filtre de pare-feu sans état pour accepter le trafic provenant de sources fiables

Cet exemple montre comment créer un filtre de pare-feu sans état qui protège le moteur de routage du trafic provenant de sources non fiables.

Conditions préalables

Aucune configuration particulière au-delà de l’initialisation de l’équipement n’est requise avant de configurer les filtres de pare-feu sans état.

Présentation

Dans cet exemple, vous créez un filtre de pare-feu sans état appelé protect-RE qui rejette tout le trafic destiné au moteur de routage, à l’exception des paquets de protocole SSH et BGP provenant de sources de confiance spécifiées. Cet exemple comprend les termes de filtre de pare-feu suivants :

  • ssh-term— Accepte les paquets TCP avec une adresse source et un port de 192.168.122.0/24 destination qui spécifie SSH.

  • bgp-term— Accepte les paquets TCP avec une adresse source et un port de 10.2.1.0/24 destination qui spécifie BGP.

  • discard-rest-term— Pour tous les paquets qui ne sont pas acceptés par ssh-term ou bgp-term, crée un journal des filtres de pare-feu et des enregistrements de journalisation système, puis rejette tous les paquets.

Remarque :

Vous pouvez déplacer des termes dans le filtre de pare-feu à l’aide de la insert commande. Reportez-vous à l’insérer dans le Guide de l’utilisateur de l’interface de ligne de commande Junos OS.

Configuration

Procédure

Configuration rapide CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez tous les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, puis copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette méthode, consultez Utiliser l’éditeur CLI en mode configuration le Junos OS CLI User Guide.

Pour configurer le filtre de pare-feu sans état :

  1. Créez le filtre de pare-feu sans état.

  2. Créez le premier terme de filtre.

  3. Définissez les conditions de correspondance entre le protocole, le port de destination et l’adresse source pour le terme.

  4. Définissez les actions pour le terme.

  5. Créez le deuxième terme de filtre.

  6. Définissez les conditions de correspondance entre le protocole, le port de destination et l’adresse source pour le terme.

  7. Définir l’action pour le terme.

  8. Créez le troisième terme de filtre.

  9. Définir l’action pour le terme.

  10. Appliquez le filtre au côté d’entrée de l’interface du moteur de routage.

Résultats

Confirmez votre configuration en entrant la show firewall commande et la commande depuis le show interfaces lo0 mode de configuration. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Si vous avez terminé la configuration de l’unité, entrez commit dans le mode de configuration.

Vérification

Pour vérifier que la configuration fonctionne correctement, effectuez les tâches suivantes :

Affichage des configurations de filtres de pare-feu sans état

But

Vérifiez la configuration du filtre de pare-feu.

Action

Dans le mode configuration, saisissez la show firewall commande et la show interfaces lo0 commande.

Sens

Vérifiez que la sortie affiche la configuration prévue du filtre de pare-feu. En outre, vérifiez que les conditions sont répertoriées dans l’ordre dans lequel vous souhaitez que les paquets soient testés. Vous pouvez déplacer des termes dans un filtre de pare-feu à l’aide de la insert commande CLI.

Vérification d’un filtre de pare-feu services, protocoles et sources fiables

But

Vérifiez que les actions des termes de filtre de pare-feu sont prises.

Action

Envoyez des paquets à l’unité qui correspondent aux conditions. En outre, vérifiez que les actions de filtre ne sont pas prises pour les paquets qui ne correspondent pas.

  • Utilisez la ssh host-name commande d’un hôte à l’adresse IP associée pour vérifier que 192.168.122.0/24 vous pouvez vous connecter à l’équipement en utilisant uniquement SSH à partir d’un hôte avec ce préfixe d’adresse.

  • Utilisez la show route summary commande pour vérifier que la table de routage sur l’unité ne contient pas d’entrées avec un protocole autre que Direct, Local, BGPou Static.

Exemple de sortie
nom de commande
nom de commande

Sens

Vérifiez les informations suivantes :

  • Vous pouvez vous connecter à l’équipement avec SSH.

  • La show route summary commande n’affiche aucun protocole autre que Direct, Local, BGPou Static.

Affichage des journaux de filtre de pare-feu sans état

But

Vérifiez que les paquets sont enregistrés. Si vous avez inclus l’action logsyslog dans un terme, vérifiez que les paquets correspondant à ce terme sont enregistrés dans le journal du pare-feu ou dans votre installation de journalisation système.

Action

Dans le mode opérationnel, saisissez la show firewall log commande.

Exemple de sortie
nom de commande

Sens

Chaque enregistrement de la sortie contient des informations sur le paquet enregistré. Vérifiez les informations suivantes :

  • Sous Time, l’heure du jour où le paquet a été filtré est affiché.

  • Le Filter résultat est toujours pfe.

  • Sous Action, l’action configurée du terme correspond à l’action effectuée sur le paquet :A (accepter), D (rejeter), R (rejeter).

  • Sous Interface, l’interface entrante (entrante) sur laquelle le paquet est arrivé est appropriée au filtre.

  • Sous Protocol, le protocole dans l’en-tête IP du paquet est approprié au filtre.

  • Sous Src Addr, l’adresse source dans l’en-tête IP du paquet est appropriée au filtre.

  • Sous Dest Addr, l’adresse de destination dans l’en-tête IP du paquet est appropriée au filtre.