Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemple : Configuration d’un filtre de pare-feu sans état pour gérer les fragments

Cet exemple montre comment créer un filtre de pare-feu sans état qui gère les fragments de paquets.

Conditions préalables

Avant de configurer les filtres de pare-feu sans état, aucune configuration spéciale au-delà de l’initialisation de l’équipement n’est requise.

Présentation

Dans cet exemple, vous créez un filtre de pare-feu sans état appelé fragment-RE qui accepte les paquets fragmentés provenant de 10.2.1.0/24 et destinés au port BGP. Cet exemple inclut les termes de filtre de pare-feu suivants :

  • not-from-prefix-term-–Élimine les paquets qui ne proviennent pas de 10.2.1.0/24 pour s’assurer que les termes suivants du filtre de pare-feu sont alignés uniquement sur les paquets de 10.2.1.0/24.

  • small-offset-term— Élimine les petits paquets décalés (1 à 5) pour s’assurer que les termes suivants du filtre de pare-feu peuvent être mis en correspondance avec tous les en-têtes du paquet. En outre, le terme ajoute un enregistrement aux destinations de journalisation du système pour l’installation de pare-feu.

  • not-fragmented-term: accepte les paquets TCP nonfragmentés avec un port de destination qui spécifie le protocole BGP. Un paquet est considéré comme non fragmenté si l’indicateur MF n’est pas défini et que le décalage du fragment est égal à 0.

  • first-fragment-term: accepte le premier fragment d’un paquet TCP fragmenté avec un port de destination qui spécifie le protocole BGP.

  • fragment-term: accepte tous les fragments qui n’ont pas été jetés par small-offset-term. (fragments de paquets 6-8191). Toutefois, seuls les fragments qui font partie d’un paquet contenant un premier fragment accepté par first-fragment-term sont réassemblé par l’équipement de destination.

Le décalage des fragments de paquets peut être de 1 à 8191.

REMARQUE :

Vous pouvez déplacer des termes dans le filtre de pare-feu à l’aide de la insert commande. Pour plus d’informations, consultez « insert » dans le Guide de l’utilisateur de Junos OS CLI.

topologie

Configuration

Configuration rapide cli

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour correspondre à votre configuration réseau, puis copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie.

Procédure

Procédure étape par étape

Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, consultez Utiliser l’éditeur CLI en mode configuration le Guide de l’utilisateur de junos OS CLI.

Pour configurer le filtre de pare-feu sans état :

  1. Définissez le filtre de pare-feu sans état.

  2. Configurez le premier terme pour le filtre.

  3. Définissez le deuxième terme pour le filtre.

  4. Définissez les conditions de correspondance pour le terme.

  5. Définissez l’action du terme.

  6. Définissez le troisième terme pour le filtre.

  7. Définissez les conditions de correspondance pour le terme.

  8. Définissez l’action du terme.

  9. Définissez le quatrième terme pour le filtre.

  10. Définissez les conditions de correspondance pour le terme.

  11. Définissez l’action du terme.

  12. Définissez le dernier terme pour le filtre.

  13. Définissez les conditions de correspondance pour le terme.

  14. Définissez l’action du terme.

Résultats

Confirmez votre configuration en entrant la commande depuis le show firewall mode de configuration. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.

Vérification

Pour vérifier que la configuration fonctionne correctement, effectuez les tâches suivantes :

Affichage des configurations de filtre de pare-feu sans état

But

Vérifiez la configuration du filtre de pare-feu. Vous pouvez analyser le flux des termes du filtre en affichant l’ensemble de la configuration.

Action

Depuis le mode de configuration, saisissez la show firewall commande.

Sens

Vérifiez que la sortie indique la configuration prévue du filtre de pare-feu. En outre, vérifiez que les termes sont répertoriés dans l’ordre dans lequel vous souhaitez que les paquets soient testés. Vous pouvez déplacer des termes dans un filtre de pare-feu à l’aide de la insert commande CLI.

Vérification d’un filtre de pare-feu qui gère les fragments

But

Vérifiez que les actions des termes du filtre de pare-feu sont bien effectuées.

Action

Envoyez des paquets à l’équipement qui correspondent aux conditions.

Sens

Vérifiez que les paquets de 10.2.1.0/24 avec de petits décalages de fragments sont enregistrés dans les destinations de journalisation du système de l’équipement pour l’installation du pare-feu.