Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

例:プレフィックスリストに基づいてポートへのTCPアクセスを制限するフィルターの設定

この例では、許可された BGP ピアを含むプレフィックス ソースのリストを指定することによって、ルーティング エンジン宛ての特定の TCP および ICMP(インターネット制御メッセージ プロトコル)トラフィックを制限する標準的なステートレス ファイアウォール フィルターを設定する方法を示します。

要件

この例を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。

概要

この例では、ステートレス ファイアウォール フィルターを作成します。このフィルターは、指定したプレフィックスを持つ BGP ピアを除くすべてのリクエスターからポート 179 への TCP 接続試行をすべてブロックします。

トポロジー

許可された BGP ピアを含む送信元プレフィックスのリストを指定する送信元プレフィックス リストが作成されます 。plist_bgp179

ステートレス ファイアウォール フィルター は、送信元プレフィックス リストから 宛先ポート番号 179 までのすべてのパケットを照合します。filter_bgp179plist_bgp179

設定

CLIクイック構成

この例をすばやく設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク構成に合わせて必要な詳細を変更し、[edit]階層レベルのCLIにコマンドをコピー&ペーストしてください。

フィルターを設定する

ステップバイステップでの手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。CLIのナビゲーションについては、Junos OS CLIユーザーガイド設定モードでCLIエディターを使用する を参照してください。

フィルターを構成するには:

  1. プレフィックスリスト を展開して、 で 定義されたBGPピアグループが指すすべてのプレフィックスを含めます。bgp179protocols bgp group <*> neighbor <*>

  2. 指定されたBGPピアを除くすべてのリクエスターからポート179へのTCP接続試行を拒否するフィルター条件を定義します。

  3. すべてのパケットを受け入れるように、もう一方のフィルター条件を定義します。

  4. ファイアウォールフィルターをループバックインターフェイスに適用します。

結果

コンフィギュレーションモードから、show firewallshow interfaces、、およびの各コマshow policy-optionsンドを入力し、コンフィギュレーションを確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認します。

ループバック インターフェイスに適用されたファイアウォール フィルターの表示

目的

ファイアウォールフィルター が論理インターフェイス のIPv4入力トラフィックに適用されていることを確認します。filter_bgp179lo0.0

アクション

論理インターフェイスには コマンドを使用し、 オプションを含めます。show interfaces statistics operational modelo0.0detail コマンド出力セクションのセクションの下に、入力方向の論理インターフェイスに適用されたステートレス ファイアウォール フィルターの名前が表示されます。Protocol inetInput Filters

関連項目