Exemple : Configuration d’un filtre de pare-feu sans état pour gérer les fragments
Cet exemple montre comment créer un filtre de pare-feu sans état qui gère les fragments de paquets.
Conditions préalables
Aucune configuration spéciale au-delà de l’initialisation de l’équipement n’est requise avant de configurer des filtres de pare-feu sans état.
Présentation
Dans cet exemple, vous créez un filtre de pare-feu sans état appelé fragment-RE qui accepte les paquets fragmentés provenant de 10.2.1.0/24 et destinés au port BGP. Cet exemple inclut les termes de filtre de pare-feu suivants :
not-from-prefix-term-–Ignore les paquets qui ne proviennent pas de la version 10.2.1.0/24 pour s’assurer que les termes suivants dans le filtre du pare-feu sont mis en correspondance avec les paquets de la version 10.2.1.0/24 uniquement.small-offset-term: ignore les petits paquets décalés (1 à 5) pour s’assurer que les termes suivants du filtre de pare-feu peuvent être mis en correspondance avec tous les en-têtes du paquet. En outre, le terme ajoute un enregistrement aux destinations de journalisation système pour la fonction de pare-feu.not-fragmented-term: accepte les paquets TCP non fragmentés avec un port de destination qui spécifie le protocole BGP. Un paquet est considéré comme non fragmenté si l’indicateur MF n’est pas défini et que le décalage du fragment est égal à 0.first-fragment-term: accepte le premier fragment d’un paquet TCP fragmenté avec un port de destination qui spécifie le protocole BGP.fragment-term: accepte tous les fragments qui n’ont pas été supprimés parsmall-offset-term. (fragments de paquets 6 à 8191). Toutefois, seuls les fragments qui font partie d’un paquet contenant un premier fragment accepté par sont réassemblés parfirst-fragment-terml’équipement de destination.
Le décalage des fragments de paquets peut être compris entre 1 et 8191.
Vous pouvez déplacer des termes à l’intérieur du filtre de pare-feu à l’aide de la insert commande. Pour plus d’informations, reportez-vous à la section « insérer » dans le Guide de l’utilisateur de l’interface de ligne de commande Junos OS.
Topologie
Configuration
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie.
set firewall family inet filter fragment-RE term not-from-prefix-term from source-address 0.0.0.0/0 set firewall family inet filter fragment-RE term not-from-prefix-term from source-address 10.2.1.0/24 except set firewall family inet filter fragment-RE term not-from-prefix-term then discard set firewall family inet filter fragment-RE term small-offset-term from fragment-offset 1-5 set firewall family inet filter fragment-RE term small-offset-term then syslog set firewall family inet filter fragment-RE term small-offset-term then discard set firewall family inet filter fragment-RE term not-fragmented-term from fragment-offset 0 set firewall family inet filter fragment-RE term not-fragmented-term from fragment-flags "!more-fragments" set firewall family inet filter fragment-RE term not-fragmented-term from protocol tcp set firewall family inet filter fragment-RE term not-fragmented-term from destination-port bgp set firewall family inet filter fragment-RE term not-fragmented-term then accept set firewall family inet filter fragment-RE term first-fragment-term from first-fragment set firewall family inet filter fragment-RE term first-fragment-term from protocol tcp set firewall family inet filter fragment-RE term first-fragment-term from destination-port bgp set firewall family inet filter fragment-RE term first-fragment-term then accept set firewall family inet filter fragment-RE term fragment-term from fragment-offset 6-8191 set firewall family inet filter fragment-RE term fragment-term then accept
Procédure
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous Utiliser l’éditeur CLI en mode configuration au Guide de l’utilisateur de l’interface de ligne de commande Junos OS.
Pour configurer le filtre de pare-feu sans état :
Définissez le filtre de pare-feu sans état.
[edit] user@host# edit firewall family inet filter fragment-RE
Configurez le premier terme du filtre.
[edit firewall family inet filter fragment-RE ] user@host# set term not-from-prefix-term from source-address 0.0.0.0/0 user@host# set term not-from-prefix-term from source-address 10.2.1.0/24 except user@host# set term not-from-prefix-term then discard
Définissez le deuxième terme pour le filtre.
[edit firewall family inet filter fragment-RE] user@host# edit term small-offset-term
Définissez les conditions de correspondance pour le terme.
[edit firewall family inet filter fragment-RE term small-offset-term] user@host# set from fragment-offset 1-5
Définissez l’action pour le terme.
[edit firewall family inet filter fragment-RE term small-offset-term] user@host# set then syslog discard
Définissez le troisième terme pour le filtre.
[edit] user@host# edit firewall family inet filter fragment-RE term not-fragmented-term
Définissez les conditions de correspondance pour le terme.
[edit firewall family inet filter fragment-RE term not-fragmented-term] user@host# set from fragment-flags "!more-fragments" fragment-offset 0 protocol tcp destination-port bgp
Définissez l’action pour le terme.
[edit firewall family inet filter fragment-RE term not-fragmented-term] user@host# set then accept
Définissez le quatrième terme pour le filtre.
[edit] user@host# edit firewall family inet filter fragment-RE term first-fragment-term
Définissez les conditions de correspondance pour le terme.
[edit firewall family inet filter fragment-RE term first-fragment-term] user@host# set from first-fragment protocol tcp destination-port bgp
Définissez l’action pour le terme.
[edit firewall family inet filter fragment-RE term first-fragment-term] user@host# set then accept
Définissez le dernier terme du filtre.
[edit] user@host# edit firewall family inet filter fragment-RE term fragment-term
Définissez les conditions de correspondance pour le terme.
[edit firewall family inet filter fragment-RE term fragment-term] user@host# set from fragment-offset 6–8191
Définissez l’action pour le terme.
[edit firewall family inet filter fragment-RE term fragment-term] user@host# set then accept
Résultats
Confirmez votre configuration en entrant la show firewall commande à partir du mode de configuration. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
user@host# show firewall
family inet {
filter fragment-RE {
term not-from-prefix-term {
from {
source-address {
0.0.0.0/0;
10.2.1.0/24 except;
}
}
then discard;
}
term small-offset-term {
from {
fragment-offset 1-5;
}
then {
syslog;
discard;
}
}
term not-fragmented-term {
from {
fragment-offset 0;
fragment-flags "!more-fragments";
protocol tcp;
destination-port bgp;
}
then accept;
}
term first-fragment-term {
from {
first-fragment;
protocol tcp;
destination-port bgp;
}
then accept;
}
term fragment-term {
from {
fragment-offset 6-8191;
}
then accept;
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les opérations suivantes :
- Affichage des configurations de filtre de pare-feu sans état
- Vérification d’un filtre de pare-feu qui gère les fragments
Affichage des configurations de filtre de pare-feu sans état
But
Vérifiez la configuration du filtre du pare-feu. Vous pouvez analyser le flux des termes de filtre en affichant l’ensemble de la configuration.
Action
À partir du mode configuration, entrez la show firewall commande.
Sens
Vérifiez que la sortie affiche la configuration prévue du filtre de pare-feu. En outre, vérifiez que les termes sont répertoriés dans l’ordre dans lequel vous souhaitez que les paquets soient testés. Vous pouvez déplacer des termes à l’intérieur d’un filtre de pare-feu à l’aide de la insert commande CLI.
Vérification d’un filtre de pare-feu qui gère les fragments
But
Vérifiez que les actions des termes de filtre du pare-feu sont prises.
Action
Envoyez des paquets à l’appareil qui correspondent aux conditions.
Sens
Vérifiez que les paquets de la version 10.2.1.0/24 avec de petits décalages de fragments sont enregistrés dans les destinations de journalisation système de l’équipement pour le pare-feu.