Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

例:ファイアウォールフィルタチェーンの使用

この例では、ファイアウォールフィルタチェーンの使用方法を示しています。ファイアウォールフィルター filter1、filter2、filter3 は、 input-chainおよびoutput-chain構成ステートメントを使用して、インターフェイス ge-0/1/1.0 に適用されます。

要件

開始する前に:

  • MX シリーズルーターは、MPCs を使用し、Junos リリース 18.4 R1 以降を実行している必要があります。

  • ルーターは、IPv4(IPバージョン4)プロトコル( )に設定し、インターフェイス アドレスを持つ論理 family inet インターフェイスを設定する必要があります。その他の初期ルーター構成はすべて、確認されたデバイス間の基本的な IPv4 接続によって完全に完了する必要があります。

  • 送信するトラフィックは、ファイアウォールのフィルタルールと互換性がなければならないため、設定するルールを送信するテストトラフィックと一致させることができます。

概要

この例では、受信と送信の両方に複数のファイアウォールフィルターを連結し、特定のインターフェイスに適用できるようにして、順番に評価する方法を示します。各フィルタチェーンは、CLI フィルタと同じように動作します。実行順序は、左から右へのチェーンと同じ順序で行われます。

Topology

この例では、複数のファイアウォールフィルターを設定し、それらを特定のインターフェイスに連鎖させて順番に適用します。この例でge-0/1/1.0は、入力および出力チェーンの両方に IP アドレス 172.16.1.1/30 を使用して構成されています。パケットがチェーンリスト内のいずれのフィルターにも一致しない場合、パケットはドロップされます。

構成

次の例では、構成階層のさまざまなレベルを移動する必要があります。詳細については、 を参照してください。詳細CLIを参照 設定モードでの CLI エディターの使用 してください。

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをテキストファイルにコピーし、改行を削除してから、コマンドを[edit]階層レベルで CLI に貼り付けます。ここで使用されるフィルタ名は 、 などの名前で、用語名は filter1t1_f1 (term1、filter1 を使用)などです。

IPv4 ファイアウォールフィルターを構成する

ここでは、ファイアウォールフィルターを構成します。それぞれには、さまざまな条件と活動項目があります。最初の 2 つのフィルタには、終端以外のアクションを持つ複数の条件があります。つまり、一致するパケットはチェーンの次のフィルタに渡され、3 つ目は受け入れるアクションがあります count指定された条件と一致しないパケットは破棄されます。

順を追った手順

ファイアウォールフィルターを構成するには、次のようにします。

  1. IPv4 ファイアウォールフィルターを構成する階層レベルに、CLI を移動します。

  2. 1つ目のファイアウォールフィルターを構成し、TCP パケットまたはパケットの優先度を7に設定してから、チェーン内の次のフィルターに送信します。

  3. 2つ目のファイアウォールフィルタは、DSCP パケットまたは発信元ポートが1020のパケットを数える前に、チェーン内の次のフィルターに送信する前に設定します。

  4. 最後のファイアウォール フィルターを設定して、宛先アドレス 172.30.1.1/32 または宛先ポート 5454 のパケットをカウントして受け入れる。

  5. ナトラフィックフローの形状を設定するために、ポリサーを構成します。

入力フィルターの連鎖を適用します。

ここでは、特定のインターフェースにファイアウォールフィルタを適用します。実行順序は、左から右へのチェーンと同じ順序で行われます。

順を追った手順

インターフェイスに IP アドレスを割り当てるには、以下のようにします。

  1. フィルタに使用しているインターフェイスに移動しge-0/1/1.0ます。

  2. 論理インタフェースに IPv4 アドレスを割り当てます。

  3. フィルターを入力フィルターのリストとして適用します。

受験者の構成を確認して確定します。

順を追った手順

候補の設定を確認してからコミットするには、以下のようにします。

  1. show firewall Configuration mode コマンドを入力して、ファイアウォールフィルターの設定を確認します。コマンドの出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

  2. show interfaces設定モードのコマンドを入力して、インターフェイスの設定を確認します。

  3. デバイスの設定が完了したら、構成をコミットします。

検証

構成が期待どおりに機能していること、つまり、一致するトラフィックが各フィルター filter1、filter2、filter3 によって評価され、予想される動作 (カウントまたは受け付け) が行われていることを確認します。

ファイアウォールフィルターを介してトラフィックを送信します。

目的

特定のデバイスからルーターにトラフィックを送信します。これは、チェーン内の関連するすべてのフィルターによって、一致するパケットが評価されているかどうかを確認するために設定します。

アクション

入力パケットが filter1、filter2、filter3 によって評価されていることを確認するには、次のようになります。

  1. 接続されているリモートホストからge-0/1/1.0、優先度7のパケットを送信します。パケットを数えてから、filter2 によって評価する必要があります。

  2. 接続されているリモートホストからge-0/1/1.0、DSCP 値0のパケットを送信します。パケットを数えてから、filter3 によって評価する必要があります。

  3. に接続されたリモート ホストから、宛先アドレス ge-0/1/1.0 172.30.1.1/32 および宛先ポート番号 5454 を持つパケットを送信します。パケットはカウントされてから、受け付けられるようになります。

  4. 構成したフィルターのカウンター情報を表示するにはshow firewall filter filter-name 、運用モードコマンドを入力します。コマンド出力には、カウンターに関連付けられたフィルタ条件と一致するバイト数とパケット数が表示されます。