Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

例:複数のファイアウォールフィルターのリストの適用

この例では、複数のファイアウォールフィルターのリストを適用する方法を示しています。

要件

開始する前に、以下を確認してください。

  • ルーターまたはスイッチを設置し、PIC、DPC、またはMPCをサポートし、ルーターまたはスイッチの初期設定を実行している。

  • トポロジーに基本イーサネットを設定。

  • IPバージョン4(IPv4)プロトコル()を実行するように論理インターフェイスを設定し、インターフェイスアドレスを使用して論理インターフェイスを構成しました。family inet この例では、IP アドレス 172.16.1.2/30 で設定された論理インターフェイス を使用します。ge-1/3/0.0

    注:

    念のために記すために、この例の設定セクションには、 論理インターフェイス の IP アドレスの設定が含まれています。ge-1/3/0.0

  • トラフィックがトポロジー内を流れていること、およびイングレスおよびエグレスIPv4トラフィックが論理インターフェイス を通過していることを確認。ge-1/3/0.0

  • このルーターまたはスイッチの論理インターフェイス に接続されているリモートホストにアクセスできることを確認。ge-1/3/0.0

注:

物理インターフェイス ポリサー/フィルターは、リスト フィルターではサポートされていません。

概要

この例では、3 つの IPv4 ファイアウォール フィルターを設定し、リストを使用して各フィルターを同じ論理インターフェイスに直接適用します。

トポロジー

この例では、論理インターフェイス の入力フィルターのリストとして、以下のファイアウォールフィルターを適用します。ge-1/3/0.0 各フィルターには、IPv4パケットを評価し、TCPヘッダーの フィールドの値 に基づいてパケットを受け入れる単一の条件が含まれています。destination port

  • FTPポート番号()のフィルター一致。filter_FTP21

  • フィルターはSSHポート番号()で一致します。filter_SSH22

  • フィルター は、Telnet ポート番号()で一致します。filter_Telnet23

インバウンド・パケットが入力リスト内のどのフィルターにも一致しない場合、そのパケットは廃棄されます。

注:

Junos OSは、リスト内のフィルター名をリストに表示されている順序で使用します。この単純な例では、すべてのフィルターで同じアクションが指定されているため、順序は関係ありません。

いずれのフィルターも、単独で(または ステートメントを使用)、他のフィルターと組み合わせて(または ステートメントを使用して)他のインターフェイスに適用できます。inputoutputinput-listoutput-list 目的は、インターフェイス固有のフィルタリストで再利用できる複数の「ミニマリスト」ファイアウォールフィルタを設定することです。

設定

次の例では、設定階層のいくつかのレベルに移動する必要があります。CLI のナビゲーションについては、を参照してください 。設定モードでのCLIエディターの使用

CLIクイック構成

この例をすばやく設定するには、次のコマンドをテキスト ファイルにコピーし、改行を削除してから、 階層レベルの CLI にコマンドを貼り付けます。[edit]

複数の IPv4 ファイアウォール フィルターを構成する

ステップバイステップでの手順

IPv4ファイアウォールフィルターを設定するには:

  1. CLI を、IPv4 ファイアウォール フィルターを設定する階層レベルに移動します。

  2. 最初のファイアウォールフィルターを構成して、ポート21のパケットをカウントして受け入れます。

  3. 2 番目のファイアウォール フィルターを構成して、ポート 22 のパケットをカウントして受け入れます。

  4. 3 番目のファイアウォール フィルターを構成して、ポート 23 からのパケットをカウントして受け入れます。

  5. 破棄されたパケットをカウントする最後のファイアウォールフィルターを設定します。

フィルターを入力リストおよび出力リストとして論理インターフェイスに適用します

ステップバイステップでの手順

6 つの IPv4 ファイアウォール フィルターを入力フィルターのリストおよび出力フィルターのリストとして適用するには:

  1. 論理インターフェイス にIPv4ファイアウォールフィルターを適用する階層レベルにCLIをナビゲートします。ge-1/3/0.0

  2. 論理インターフェイスのIPv4プロトコルファミリーを設定します。

  3. フィルターを入力フィルターのリストとして適用します。

受験者の設定を確認してコミットする

ステップバイステップでの手順

候補の設定を確認してコミットするには、次の手順に従います。

  1. 設定モード コマンドを入力して、ファイアウォール フィルターの設定 を確認します。show firewall コマンドの出力結果に意図した設定内容が表示されない場合は、この例の手順を再実行して設定を修正します。

  2. 設定モード コマンドを入力して、 インターフェイスの設定を確認します。show interfaces コマンドの出力結果に意図した設定内容が表示されない場合は、この例の手順を再実行して設定を修正します。

  3. デバイスの設定が完了したら、受験者の設定をコミットします。

検証

設定が正常に機能していることを確認します。

インバウンドパケットが、FTP、SSH、またはTelnetポート宛ての場合にのみ受け入れられることの確認

目的

3つのフィルターすべてが論理インターフェイスに対してアクティブになっていることを確認します。

アクション

3つのフィルタに従って入力パケットが受け入れられていることを確認するには:

  1. このルーター(またはスイッチ)の論理インターフェイス に接続されているリモートホストから、ヘッダーに宛先ポート番号21を持つパケットを送信します。ge-1/3/0.0 パケットが受け入れられる必要があります。

  2. このルーター(またはスイッチ)の論理インターフェイス に接続されたリモートホストから、ヘッダーに宛先ポート番号22を持つパケットを送信します。ge-1/3/0.0 パケットが受け入れられる必要があります。

  3. このルーター(またはスイッチ)の論理インターフェイス に接続されているリモートホストから、ヘッダーに宛先ポート番号23を持つパケットを送信します。ge-1/3/0.0 パケットが受け入れられる必要があります。

  4. このルーター(またはスイッチ)の論理インターフェイス に接続されているリモートホストから、21、22、または23 以外の 宛先ポート番号のパケットを送信します。ge-1/3/0.0 パケットは破棄する必要があります。

  5. 入力 に適用されるフィルターのリストのカウンタ情報を表示するには、 運用モードコマンドを入力します 。ge-1/3/0.0show firewall filter ge-1/3/0.0-inet-i コマンドの出力は、以下のカウンターに関連するフィルター条件に一致するバイト数とパケット数を表示します。

    • pkts_FTP-ge-1/3/0.0-inet-i

    • pkts_SSH-ge-1/3/0.0-inet-i

    • pkts_Telnet-ge-1/3/0.0-inet-i

    • pkts_discard-ge-1/3/0.0-inet-i

関連項目