Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

例:指定された BGP ピア以外からのポートへの TCP アクセスをブロックするフィルターの設定

この例では、指定された BGP ピアを除くすべてのリクエスターからポート 179 へのすべての TCP 接続試行をブロックする標準的なステートレス ファイアウォール フィルターを設定する方法を示します。

要件

この例を構成する前に、デバイスの初期化以上の特別な構成は必要ありません。

概要

この例では、指定された BGP ピアを除くすべてのリクエスターからポート 179 へのすべての TCP 接続試行をブロックするステートレス ファイアウォール フィルターを作成します。

ステートレス ファイアウォール フィルターは、デバイス A とデバイス B に直接接続されたインターフェイスから宛先ポート番号 179 へのすべてのパケットを filter_bgp179 照合します。

トポロジー

図 1 この例で使用されているトポロジーを示しています。デバイスCはデバイスEへのTCP接続を試みますが、デバイスEは接続試行をブロックします。この例では、デバイス E の設定を示しています。

図 1: BGP ピア セッションを持つ標準的なネットワークBGP ピア セッションを持つ標準的なネットワーク

設定

CLIクイック構成

この例をすばやく設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク構成に合わせて必要な詳細を変更し、[edit]階層レベルのCLIにコマンドをコピー&ペーストしてください。

1 デバイスC 1

1 デバイスE 1

デバイス E の設定

ステップバイステップでの手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。CLIのナビゲーションについては、Junos OS CLIユーザーガイド設定モードでCLIエディターを使用する を参照してください。

指定された BGP ピアを除くすべてのリクエスターからポート 179 へのすべての TCP 接続試行をブロックするステートレス ファイアウォール フィルターを使用してデバイス E を設定するには、次のようにします。

  1. インターフェイスを設定します。

  2. BGP を設定します。

  3. 自律システム番号を設定する。

  4. 指定されたBGPピアからポート179へのTCP接続試行を受け入れるフィルター条件を定義します。

  5. 他の送信元からのパケットを拒否する、もう一方のフィルター条件を定義します。

  6. ファイアウォールフィルターをループバックインターフェイスに適用します。

結果

設定モードから、show firewallshow interfacesshow protocols、およびshow routing-options のコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認します。

フィルターが構成されていることを確認する

目的

フィルターが show firewall filter コマンドの出力に表示されていることを確認します。

アクション

TCP 接続の検証

目的

TCP 接続を確認します。

アクション

運用モードから、機器Cと機器Eで show system connections extensive コマンドを実行します。

デバイス C の出力は、TCP 接続を確立しようとしたことを示しています。デバイス E の出力では、デバイス A およびデバイス B とのみ接続が確立されていることがわかります。

インターフェイス上のトラフィックの監視

目的

monitor traffic コマンドを使用して、TCP 接続を確立するインターフェイス上のトラフィックと、TCP 接続を確立しないインターフェイス上のトラフィックを比較します。

アクション

運用モードから、デバイスBへのデバイスEインターフェイスと、デバイスCへのデバイスEインターフェイスで monitor traffic コマンドを実行します。次のサンプル出力では、最初の例で確認応答 (ack) メッセージを受信したことを確認します。2 番目の例では、 ack メッセージは受信されません。