Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

例:ファイアウォールフィルタ条件のロギングの構成

この例では、ファイアウォールフィルタを設定してパケットヘッダーを記録する方法を示します。

要件

この例を設定する前に、デバイス初期化以外に特別な設定を行う必要はありません。

概要

この例では、送信元または宛先のいずれかである192.168.207.222 ICMP パケットをログに記録してカウントするファイアウォールフィルターを使用します。

構成

次の例では、構成階層のさまざまなレベルを移動する必要があります。詳細については、 を参照してください。詳細CLIを参照 設定モードでの CLI エディターの使用 してください。

この例を構成するには、以下のタスクを実行します。

CLI クイック構成

この例を簡単に構成するには、以下の構成コマンドをテキストファイルにコピーし、改行を削除してから、コマンドを[edit]階層レベルで CLI に貼り付けます。

ファイアウォール機能用の Syslog メッセージファイルを設定します。

順を追った手順

ファシリティの syslog メッセージファイルを設定するfirewallには、次のようにします。

  1. firewallファシリティ用に生成されたすべての syslog メッセージに対応するメッセージファイルを構成します。

  2. アーカイブされた設備 syslog ファイルに対する権限の制限。ルート ユーザーおよびシステム保守権限を持 firewall Junos OSユーザーに限定します。

ファイアウォールフィルターを構成します。

順を追った手順

送信元または宛先icmp_syslogがある192.168.207.222 ICMP パケットを記録してカウントするファイアウォールフィルターを構成するには、以下のようにします。

  1. ファイアウォールフィルター icmp_syslogを作成します。

  2. ICMP プロトコルとアドレスの照合を構成します。

  3. マッチングパケットをカウント、ログ、受け入れます。

  4. その他のパケットをすべて受け入れます。

論理インタフェースにファイアウォールフィルタを適用します。

順を追った手順

ファイアウォールフィルタを論理インタフェースに適用するには、次のようにします。

  1. ファイアウォールフィルタの適用先となる論理インタフェースを設定します。

  2. 論理インタフェースのインタフェースアドレスを設定します。

  3. 論理インタフェースにファイアウォールフィルタを適用します。

受験者の構成を確認して確定します。

順を追った手順

候補の設定を確認してからコミットするには、以下のようにします。

  1. 設定モードのコマンドを入力して、 firewallファシリティの syslog メッセージファイルの設定を確認します。 show system コマンドの出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

  2. show firewall Configuration mode コマンドを入力して、ファイアウォールフィルタの設定を確認します。コマンドの出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

  3. show interfaces設定モードのコマンドを入力して、インターフェイスの設定を確認します。コマンドの出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

  4. デバイスの設定が完了したら、受験者の設定を確定します。

検証

構成が正常に機能していることを確認show log filterするには、次のコマンドを入力します。

この出力ファイルには、以下のフィールドが含まれています。

  • Date and Time— パケットを受信した日時(デフォルトでは表示されません)。

  • フィルタアクション:

    • A—受け入れる(または次の期間)

    • D—破棄

    • R—拒否する

  • Protocol—パケットのプロトコル名または番号。

  • Source address—パケットの送信元 IP アドレス。

  • Destination address—パケット内の宛先 IP アドレス。

    注:

    プロトコルが ICMP の場合は、ICMP タイプとコードが表示されます。その他のすべてのプロトコルについては、送信元と宛先のポートが表示されます。

最後の2つのフィールド (どちらもゼロ) は、送信元と宛先の TCP/UDP ポートを示しており、TCP または UDP パケットのみの場合に表示されます。このログメッセージは、この一致のパケットが1秒間隔で1つだけ検出されたことを示しています。パケットが高速に到着すると、システムログ機能によって情報が圧縮され、出力結果が減少し、以下のような出力が表示されます。