Exemple : Configuration d’un filtre de pare-feu sans état pour gérer les fragments
Cet exemple montre comment créer un filtre de pare-feu sans état qui gère les fragments de paquets.
Conditions préalables
Avant de configurer les filtres de pare-feu sans état, aucune configuration spéciale au-delà de l’initialisation de l’équipement n’est requise.
Présentation
Dans cet exemple, vous créez un filtre de pare-feu sans état appelé fragment-RE
qui accepte les paquets fragmentés provenant de 10.2.1.0/24 et destinés au port BGP. Cet exemple inclut les termes de filtre de pare-feu suivants :
not-from-prefix-term
-–Élimine les paquets qui ne proviennent pas de 10.2.1.0/24 pour s’assurer que les termes suivants du filtre de pare-feu sont alignés uniquement sur les paquets de 10.2.1.0/24.small-offset-term
— Élimine les petits paquets décalés (1 à 5) pour s’assurer que les termes suivants du filtre de pare-feu peuvent être mis en correspondance avec tous les en-têtes du paquet. En outre, le terme ajoute un enregistrement aux destinations de journalisation du système pour l’installation de pare-feu.not-fragmented-term
: accepte les paquets TCP nonfragmentés avec un port de destination qui spécifie le protocole BGP. Un paquet est considéré comme non fragmenté si l’indicateur MF n’est pas défini et que le décalage du fragment est égal à 0.first-fragment-term
: accepte le premier fragment d’un paquet TCP fragmenté avec un port de destination qui spécifie le protocole BGP.fragment-term
: accepte tous les fragments qui n’ont pas été jetés parsmall-offset-term
. (fragments de paquets 6-8191). Toutefois, seuls les fragments qui font partie d’un paquet contenant un premier fragment accepté parfirst-fragment-term
sont réassemblé par l’équipement de destination.
Le décalage des fragments de paquets peut être de 1 à 8191.
Vous pouvez déplacer des termes dans le filtre de pare-feu à l’aide de la insert
commande. Pour plus d’informations, consultez « insert » dans le Guide de l’utilisateur de Junos OS CLI.
topologie
Configuration
Configuration rapide cli
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour correspondre à votre configuration réseau, puis copiez et collez les commandes dans la CLI au niveau de la [edit]
hiérarchie.
set firewall family inet filter fragment-RE term not-from-prefix-term from source-address 0.0.0.0/0 set firewall family inet filter fragment-RE term not-from-prefix-term from source-address 10.2.1.0/24 except set firewall family inet filter fragment-RE term not-from-prefix-term then discard set firewall family inet filter fragment-RE term small-offset-term from fragment-offset 1-5 set firewall family inet filter fragment-RE term small-offset-term then syslog set firewall family inet filter fragment-RE term small-offset-term then discard set firewall family inet filter fragment-RE term not-fragmented-term from fragment-offset 0 set firewall family inet filter fragment-RE term not-fragmented-term from fragment-flags "!more-fragments" set firewall family inet filter fragment-RE term not-fragmented-term from protocol tcp set firewall family inet filter fragment-RE term not-fragmented-term from destination-port bgp set firewall family inet filter fragment-RE term not-fragmented-term then accept set firewall family inet filter fragment-RE term first-fragment-term from first-fragment set firewall family inet filter fragment-RE term first-fragment-term from protocol tcp set firewall family inet filter fragment-RE term first-fragment-term from destination-port bgp set firewall family inet filter fragment-RE term first-fragment-term then accept set firewall family inet filter fragment-RE term fragment-term from fragment-offset 6-8191 set firewall family inet filter fragment-RE term fragment-term then accept
Procédure
Procédure étape par étape
Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, consultez Utiliser l’éditeur CLI en mode configuration le Guide de l’utilisateur de junos OS CLI.
Pour configurer le filtre de pare-feu sans état :
Définissez le filtre de pare-feu sans état.
[edit] user@host# edit firewall family inet filter fragment-RE
Configurez le premier terme pour le filtre.
[edit firewall family inet filter fragment-RE ] user@host# set term not-from-prefix-term from source-address 0.0.0.0/0 user@host# set term not-from-prefix-term from source-address 10.2.1.0/24 except user@host# set term not-from-prefix-term then discard
Définissez le deuxième terme pour le filtre.
[edit firewall family inet filter fragment-RE] user@host# edit term small-offset-term
Définissez les conditions de correspondance pour le terme.
[edit firewall family inet filter fragment-RE term small-offset-term] user@host# set from fragment-offset 1-5
Définissez l’action du terme.
[edit firewall family inet filter fragment-RE term small-offset-term] user@host# set then syslog discard
Définissez le troisième terme pour le filtre.
[edit] user@host# edit firewall family inet filter fragment-RE term not-fragmented-term
Définissez les conditions de correspondance pour le terme.
[edit firewall family inet filter fragment-RE term not-fragmented-term] user@host# set from fragment-flags "!more-fragments" fragment-offset 0 protocol tcp destination-port bgp
Définissez l’action du terme.
[edit firewall family inet filter fragment-RE term not-fragmented-term] user@host# set then accept
Définissez le quatrième terme pour le filtre.
[edit] user@host# edit firewall family inet filter fragment-RE term first-fragment-term
Définissez les conditions de correspondance pour le terme.
[edit firewall family inet filter fragment-RE term first-fragment-term] user@host# set from first-fragment protocol tcp destination-port bgp
Définissez l’action du terme.
[edit firewall family inet filter fragment-RE term first-fragment-term] user@host# set then accept
Définissez le dernier terme pour le filtre.
[edit] user@host# edit firewall family inet filter fragment-RE term fragment-term
Définissez les conditions de correspondance pour le terme.
[edit firewall family inet filter fragment-RE term fragment-term] user@host# set from fragment-offset 6–8191
Définissez l’action du terme.
[edit firewall family inet filter fragment-RE term fragment-term] user@host# set then accept
Résultats
Confirmez votre configuration en entrant la commande depuis le show firewall
mode de configuration. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
user@host# show firewall family inet { filter fragment-RE { term not-from-prefix-term { from { source-address { 0.0.0.0/0; 10.2.1.0/24 except; } } then discard; } term small-offset-term { from { fragment-offset 1-5; } then { syslog; discard; } } term not-fragmented-term { from { fragment-offset 0; fragment-flags "!more-fragments"; protocol tcp; destination-port bgp; } then accept; } term first-fragment-term { from { first-fragment; protocol tcp; destination-port bgp; } then accept; } term fragment-term { from { fragment-offset 6-8191; } then accept; } } }
Si vous avez fini de configurer l’équipement, saisissez commit
à partir du mode de configuration.
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les tâches suivantes :
- Affichage des configurations de filtre de pare-feu sans état
- Vérification d’un filtre de pare-feu qui gère les fragments
Affichage des configurations de filtre de pare-feu sans état
But
Vérifiez la configuration du filtre de pare-feu. Vous pouvez analyser le flux des termes du filtre en affichant l’ensemble de la configuration.
Action
Depuis le mode de configuration, saisissez la show firewall
commande.
Sens
Vérifiez que la sortie indique la configuration prévue du filtre de pare-feu. En outre, vérifiez que les termes sont répertoriés dans l’ordre dans lequel vous souhaitez que les paquets soient testés. Vous pouvez déplacer des termes dans un filtre de pare-feu à l’aide de la insert
commande CLI.
Vérification d’un filtre de pare-feu qui gère les fragments
But
Vérifiez que les actions des termes du filtre de pare-feu sont bien effectuées.
Action
Envoyez des paquets à l’équipement qui correspondent aux conditions.
Sens
Vérifiez que les paquets de 10.2.1.0/24 avec de petits décalages de fragments sont enregistrés dans les destinations de journalisation du système de l’équipement pour l’installation du pare-feu.