Configuration de filtres pour autoriser le trafic attendu
Vous devez configurer explicitement le filtre de votre pare-feu pour autoriser le trafic attendu, tel que le trafic DHCP, à passer. Dans le cas contraire, le trafic attendu est refusé lorsque le filtre est appliqué à l’interface. Cette exigence s’applique aussi bien aux filtres de mise à jour classique qu’aux filtres de mise à jour rapide.
L’exemple suivant montre un filtre de mise à jour rapide qui peut être utilisé pour accepter le trafic DHCP. Le filtre que vous utilisez dépend du trafic prévu sur votre réseau.
Dans l’exemple, le terme allow-dhcp accepte tout le trafic DHCP provenant de toutes les adresses source. Le terme inclut également la only-at-create possibilité de spécifier que le terme n’est appliqué que lorsque le filtre est appliqué pour la première fois. Le terme sub-allow-dhcp inclut la variable $junos-subscriber-ip-addressprédéfinie Junos OS , qui autorise tout le trafic DHCP spécifique à l’abonné.
La match-order configuration de l’instruction répertorie les conditions de la plus spécifique à la moins spécifique, comme recommandé dans Configuration de l’ordre de correspondance pour les filtres de mise à jour rapide. Étant donné que ce filtre est conçu pour autoriser le trafic DHCP entrant, la source-address condition est répertoriée en premier.
firewall {
family inet {
fast-update-filter psf1 {
interface-specific;
match-order [ source-address destination-address protocol destination-port ];
term allow-dhcp {
only-at-create;
from {
source-address 0.0.0.0/32;
destination-address 255.255.255.255/32;
destination-port 67;
protocol udp;
}
then accept;
}
term sub-allow-dhcp {
from {
source-address $junos-subscriber-ip-address;
destination-address 192.168.1.2/32;
destination-port 67;
protocol udp;
}
then accept;
}
}
}
}