例:ファイアウォールフィルター条件のロギングの設定
この例では、パケットヘッダーを記録するようにファイアウォールフィルターを設定する方法を示しています。
要件
この例を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。
概要
この例では、送信元または宛先として 192.168.207.222 を持つICMPパケットをログに記録してカウントするファイアウォールフィルターを使用します。
設定
次の例では、設定階層のいくつかのレベルに移動する必要があります。CLIのナビゲーションについては、 設定モードでのCLIエディターの使用を参照してください。
この例を設定するには、以下のタスクを実行します。
- CLIクイック構成
- ファイアウォール施設の syslog メッセージ ファイルを設定する
- ファイアウォールフィルターを設定する
- 論理インターフェイスへのファイアウォールフィルターの適用
- 受験者の設定を確認してコミットする
CLIクイック構成
この例をすばやく設定するには、次の設定コマンドをテキスト ファイルにコピーし、改行を削除してから、 [edit] 階層レベルの CLI にコマンドを貼り付けます。
set system syslog file messages_firewall_any firewall any set system syslog file messages_firewall_any archive no-world-readable set firewall family inet filter icmp_syslog term icmp_match from address 192.168.207.222/32 set firewall family inet filter icmp_syslog term icmp_match from protocol icmp set firewall family inet filter icmp_syslog term icmp_match then count packets set firewall family inet filter icmp_syslog term icmp_match then syslog set firewall family inet filter icmp_syslog term icmp_match then accept set firewall family inet filter icmp_syslog term default_term then accept set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30 set interfaces ge-0/0/1 unit 0 family inet filter input icmp_syslog
ファイアウォール施設の syslog メッセージ ファイルを設定する
ステップバイステップでの手順
firewallファシリティの syslog メッセージ ファイルを設定するには、次の手順に従います。
firewallファシリティに対して生成されるすべての syslog メッセージのメッセージ ファイルを設定します。user@host# set system syslog file messages_firewall_any firewall any
アーカイブされた
firewallファシリティのsyslogファイルに対する権限を、rootユーザーとJunos OSメンテナンス権限を持つユーザーに制限します。user@host# set system syslog file messages_firewall_any archive no-world-readable
ファイアウォールフィルターを設定する
ステップバイステップでの手順
送信元または宛先として 192.168.207.222 を持つ ICMP パケットをログに記録してカウントするファイアウォールフィルターicmp_syslogを設定するには:
ファイアウォールフィルター
icmp_syslogを作成します。[edit] user@host# edit firewall family inet filter icmp_syslog
ICMPプロトコルとアドレスでマッチングを設定します。
[edit firewall family inet filter icmp_syslog] user@host# set term icmp_match from address 192.168.207.222/32 user@host# set term icmp_match from protocol icmp
カウントし、記録し、一致するパケットを受け入れます。
[edit firewall family inet filter icmp_syslog] user@host# set term icmp_match then count packets user@host# set term icmp_match then syslog user@host# set term icmp_match then accept
他のすべてのパケットを受け入れます。
[edit firewall family inet filter icmp_syslog] user@host# set term default_term then accept
論理インターフェイスへのファイアウォールフィルターの適用
ステップバイステップでの手順
ファイアウォールフィルターを論理インターフェイスに適用するには:
ファイアウォールフィルターを適用する論理インターフェイスを設定します。
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
論理インターフェイスのインターフェイスアドレスを設定します。
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
論理インターフェイスにファイアウォールフィルターを適用します。
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input icmp_syslog
受験者の設定を確認してコミットする
ステップバイステップでの手順
候補の設定を確認してコミットするには、次の手順に従います。
show system設定モード コマンドを入力して、firewall施設の syslog メッセージ ファイルの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この例の手順を再実行して設定を修正します。[edit] user@host# show system syslog { file messages_firewall_any { firewall any; archive no-world-readable; } }show firewall設定モード コマンドを入力して、ファイアウォール フィルターの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この例の手順を再実行して設定を修正します。[edit] user@host# show firewall family inet { filter icmp_syslog { term icmp_match { from { address { 192.168.207.222/32; } protocol icmp; } then { count packets; syslog; accept; } } term default_term { then accept; } } }show interfaces設定モード コマンドを入力して、インターフェイスの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この例の手順を再実行して設定を修正します。[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { filter { input icmp_syslog; } address 10.1.2.3/30; } } }デバイスの設定が完了したら、受験者の設定をコミットします。
[edit] user@host# commit
検証
設定が正常に機能していることを確認するには、 show log filter コマンドを入力します。
user@host> show log messages_firewall_any Mar 20 08:03:11 hostname feb FW: so-0/1/0.0 A icmp 192.168.207.222 192.168.207.223 0 0 (1 packets)
この出力ファイルには、以下のフィールドが含まれています。
Date and Time- パケットを受信した日時(デフォルトでは表示されていません)。フィルター操作:
A- 受諾 (または次の用語)D- 破棄R- 拒否
Protocol- パケットのプロトコル名またはプロトコル番号。Source address- パケット内の送信元 IP アドレス。Destination address- パケット内の宛先 IP アドレス。注:プロトコルが ICMP の場合、ICMP のタイプとコードが表示されます。その他のすべてのプロトコルでは、送信元ポートと宛先ポートが表示されます。
最後の 2 つのフィールド (両方ともゼロ) は、それぞれ送信元と宛先の TCP/UDP ポートで、TCP または UDP パケットについてのみ表示されます。このログ メッセージは、この一致のパケットが約 1 秒間隔で 1 つだけ検出されたことを示します。パケットの到着が早い場合、システム ログ機能は生成される出力が少なくなるように情報を圧縮し、次のような出力を表示します。
user@host> show log messages_firewall_any Mar 20 08:08:45 hostname feb FW: so-0/1/0.0 A icmp 192.168.207.222 192.168.207.223 0 0 (515 packets)