Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

例:複数のファイアウォールフィルターのリストを適用する

この例では、複数のファイアウォールフィルターのリストを適用する方法を示します。

要件

開始する前に、以下のものがあることを確認してください。

  • ルーターまたはスイッチを設置し、PIC、DPC、または MPC をサポートして、初期ルーターまたはスイッチ構成を実行しました。

  • トポロジーの基本イーサネットを設定しました。

  • IPバージョン4(IPv4)プロトコル( )を実行するように論理インターフェイスを設定し、インターフェイス アドレスを持つ論理インターフェイス family inet を設定しました。この例では、 ge-1/3/0.0 IP アドレス 172.16.1.2/30 で構成された論理インタフェースを使用しています。

    注:

    完全を期すために、この例の構成セクションでは、論理インターフェイスge-1/3/0.0の IP アドレスを設定しています。

  • トラフィックがトポロジ内で流れていることと、受信/送信 IPv4 トラフィックが論理インターフェイスge-1/3/0.0を通してフローしていることを確認しました。

  • このルーターまたはスイッチの論理インターフェイスに接続されているリモート ホストにアクセスできると確認しました ge-1/3/0.0

概要

この例では、3つの IPv4 ファイアウォールフィルターを構成し、リストを使用して、各フィルターを同じ論理インタフェースに直接適用します。

Topology

この例では、論理インターフェイスの入力フィルターのリストとして以下のファイアウォール フィルタを適用 します ge-1/3/0.0 。各フィルターには、IPv4 パケットを評価し、TCP ヘッダー内のdestination portフィールドの値に基づいてパケットを受信する1つの用語が含まれています。

  • フィルタ filter_FTP は、FTP ポート番号( )で一致します 21

  • フィルタ filter_SSH は SSH ポート番号( )で一致します 22

  • フィルタ filter_Telnet は Telnet ポート番号( )で一致します 23

受信パケットが入力リスト内のいずれのフィルターにも一致しない場合、パケットは破棄されます。

注:

Junos OS は、リスト内のフィルタ名がリストに表示される順序でフィルターを使用します。このシンプルな例では、すべてのフィルターに同じアクションが指定されているため、順序は重要ではありません。

フィルターは、or ステートメントを使用してinput他のインターフェイスoutputに適用できます。または、 input-list or output-list文を使用して他のフィルタと組み合わせてもかまいません。目的は、インターフェイス固有のフィルター リストで再利用できる複数の「無料の」ファイアウォール フィルターを構成することです。

構成

次の例では、構成階層のさまざまなレベルを移動する必要があります。詳細については、 を参照してください。詳細CLIを参照 設定 モード の CLI 編集者 してください。

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをテキストファイルにコピーし、改行を削除してから、コマンドを[edit]階層レベルで CLI に貼り付けます。

複数の IPv4 ファイアウォールフィルターを構成する

順を追った手順

IPv4 ファイアウォールフィルターを構成するには、次のようにします。

  1. IPv4 ファイアウォールフィルターを構成する階層レベルに、CLI を移動します。

  2. ポート 21 のパケットをカウントして受け入れる最初のファイアウォール フィルタを設定します。

  3. 2 番目のファイアウォール フィルタを設定して、ポート 22 のパケットをカウントして受け入れる。

  4. ポート 23 からのパケットをカウントして受け入れる第 3 のファイアウォール フィルタを設定します。

  5. 破棄されたパケットをカウントするために、最後のファイアウォールフィルターを構成します。

入力リストとしての論理インターフェイスと出力リストとしてのフィルターの適用

順を追った手順

6つの IPv4 ファイアウォールフィルターを入力フィルターのリストと出力フィルターのリストとして適用するには、以下のようにします。

  1. CLI を使用して、IPv4 ファイアウォールフィルターを論理インターフェイスge-1/3/0.0に適用する階層レベルに移動します。

  2. 論理インターフェイスの IPv4 プロトコルファミリを構成します。

  3. フィルターを入力フィルターのリストとして適用します。

受験者の構成を確認して確定します。

順を追った手順

候補の設定を確認してからコミットするには、以下のようにします。

  1. show firewall Configuration mode コマンドを入力して、ファイアウォールフィルターの設定を確認します。コマンドの出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

  2. show interfaces設定モードのコマンドを入力して、インターフェイスの設定を確認します。コマンドの出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

  3. デバイスの設定が完了したら、受験者の設定を確定します。

検証

構成が正常に機能していることを確認します。

受信パケットが、FTP、SSH、または Telnet ポート宛てである場合にのみ受け付けられることを確認します。

目的

3つのフィルターすべてが論理インターフェイスに対してアクティブになっていることを確認します。

アクション

3つのフィルタに従って入力パケットが受け入れられることを確認するには、次のようにします。

  1. このルーター(またはスイッチ)の論理インターフェイスに接続されたリモート ホストから、ヘッダーに宛先ポート番号 ge-1/3/0.0 21 を持つパケットを送信します。パケットを受け入れる必要があります。

  2. このルーター(またはスイッチ)の論理インターフェイスに接続されたリモート ホストから、ヘッダーに宛先ポート番号 ge-1/3/0.0 22 を持つパケットを送信します。パケットを受け入れる必要があります。

  3. このルーター(またはスイッチ)の論理インターフェイスに接続されたリモート ホストから、ヘッダーに宛先ポート番号 ge-1/3/0.0 23 を持つパケットを送信します。パケットを受け入れる必要があります。

  4. このルーター(またはスイッチ)の論理インターフェイスに接続されたリモート ホストから ge-1/3/0.0 、21、22、または23以外の宛先ポート番号を持つパケットを送信します。パケットを破棄する必要があります。

  5. 操作モードコマンドを入力したときge-1/3/0.0に、入力に適用されたフィルターリストのカウンター情報を表示します。 show firewall filter ge-1/3/0.0-inet-i このコマンド出力には、以下のカウンターに関連付けられたフィルタ用語と一致するバイト数とパケットが表示されます。

    • pkts_FTP-ge-1/3/0.0-inet-i

    • pkts_SSH-ge-1/3/0.0-inet-i

    • pkts_Telnet-ge-1/3/0.0-inet-i

    • pkts_discard-ge-1/3/0.0-inet-i