例:複数のファイアウォールフィルターのリストの適用
この例では、複数のファイアウォールフィルターのリストを適用する方法を示しています。
要件
開始する前に、以下を確認してください。
-
ルーターまたはスイッチを設置し、PIC、DPC、またはMPCをサポートし、ルーターまたはスイッチの初期設定を実行している。
-
トポロジーに基本イーサネットを設定。
-
IPバージョン4(IPv4)プロトコル()を実行するように論理インターフェイスを設定し、インターフェイスアドレスを使用して論理インターフェイスを構成しました。
family inet
この例では、IP アドレス 172.16.1.2/30 で設定された論理インターフェイス を使用します。ge-1/3/0.0
注:念のために記すために、この例の設定セクションには、 論理インターフェイス の IP アドレスの設定が含まれています。
ge-1/3/0.0
-
トラフィックがトポロジー内を流れていること、およびイングレスおよびエグレスIPv4トラフィックが論理インターフェイス を通過していることを確認。
ge-1/3/0.0
-
このルーターまたはスイッチの論理インターフェイス に接続されているリモートホストにアクセスできることを確認。
ge-1/3/0.0
物理インターフェイス ポリサー/フィルターは、リスト フィルターではサポートされていません。
概要
この例では、3 つの IPv4 ファイアウォール フィルターを設定し、リストを使用して各フィルターを同じ論理インターフェイスに直接適用します。
トポロジー
この例では、論理インターフェイス の入力フィルターのリストとして、以下のファイアウォールフィルターを適用します。ge-1/3/0.0
各フィルターには、IPv4パケットを評価し、TCPヘッダーの フィールドの値 に基づいてパケットを受け入れる単一の条件が含まれています。destination port
FTPポート番号()のフィルター一致。
filter_FTP
21
フィルターはSSHポート番号()で一致します。
filter_SSH
22
フィルター は、Telnet ポート番号()で一致します。
filter_Telnet
23
インバウンド・パケットが入力リスト内のどのフィルターにも一致しない場合、そのパケットは廃棄されます。
Junos OSは、リスト内のフィルター名をリストに表示されている順序で使用します。この単純な例では、すべてのフィルターで同じアクションが指定されているため、順序は関係ありません。
いずれのフィルターも、単独で(または ステートメントを使用)、他のフィルターと組み合わせて(または ステートメントを使用して)他のインターフェイスに適用できます。input
output
input-list
output-list
目的は、インターフェイス固有のフィルタリストで再利用できる複数の「ミニマリスト」ファイアウォールフィルタを設定することです。
設定
次の例では、設定階層のいくつかのレベルに移動する必要があります。CLI のナビゲーションについては、を参照してください 。設定モードでのCLIエディターの使用
CLIクイック構成
この例をすばやく設定するには、次のコマンドをテキスト ファイルにコピーし、改行を削除してから、 階層レベルの CLI にコマンドを貼り付けます。[edit]
set firewall family inet filter filter_FTP term 0 from protocol tcp set firewall family inet filter filter_FTP term 0 from destination-port 21 set firewall family inet filter filter_FTP term 0 then count pkts_FTP set firewall family inet filter filter_FTP term 0 then accept set firewall family inet filter filter_SSH term 0 from protocol tcp set firewall family inet filter filter_SSH term 0 from destination-port 22 set firewall family inet filter filter_SSH term 0 then count pkts_SSH set firewall family inet filter filter_SSH term 0 then accept set firewall family inet filter filter_Telnet term 0 from protocol tcp set firewall family inet filter filter_Telnet term 0 from destination-port 23 set firewall family inet filter filter_Telnet term 0 then count pkts_Telnet set firewall family inet filter filter_Telnet term 0 then accept set firewall family inet filter filter_discard term 1 then count pkts_discarded set firewall family inet filter filter_discard term 1 then discard set interfaces ge-1/3/0 unit 0 family inet address 172.16.1.2/30 set interfaces ge-1/3/0 unit 0 family inet filter input-list filter_FTP set interfaces ge-1/3/0 unit 0 family inet filter input-list filter_SSH set interfaces ge-1/3/0 unit 0 family inet filter input-list filter_Telnet set interfaces ge-1/3/0 unit 0 family inet filter input-list filter_discard
複数の IPv4 ファイアウォール フィルターを構成する
ステップバイステップでの手順
IPv4ファイアウォールフィルターを設定するには:
CLI を、IPv4 ファイアウォール フィルターを設定する階層レベルに移動します。
[edit] user@host# edit firewall family inet
最初のファイアウォールフィルターを構成して、ポート21のパケットをカウントして受け入れます。
[edit firewall family inet] user@host# set filter filter_FTP term 0 from protocol tcp user@host# set filter filter_FTP term 0 from destination-port 21 user@host# set filter filter_FTP term 0 then count pkts_FTP user@host# set filter filter_FTP term 0 then accept
2 番目のファイアウォール フィルターを構成して、ポート 22 のパケットをカウントして受け入れます。
[edit firewall family inet] user@host# set filter filter_SSH term 0 from protocol tcp user@host# set filter filter_SSH term 0 from destination-port 22 user@host# set filter filter_SSH term 0 then count pkt_SSH user@host# set filter filter_SSH term 0 then accept
3 番目のファイアウォール フィルターを構成して、ポート 23 からのパケットをカウントして受け入れます。
[edit firewall family inet] user@host# set filter filter_Telnet term 0 from protocol tcp user@host# set filter filter_Telnet term 0 from destination-port 23 user@host# set filter filter_Telnet term 0 then count pkts_Telnet user@host# set filter filter_Telnet term 0 then accept
破棄されたパケットをカウントする最後のファイアウォールフィルターを設定します。
[edit firewall family inet] user@host# set filter filter_discard term 1 then count pkts_discarded user@host# set filter filter_discard term 1 then discard
フィルターを入力リストおよび出力リストとして論理インターフェイスに適用します
ステップバイステップでの手順
6 つの IPv4 ファイアウォール フィルターを入力フィルターのリストおよび出力フィルターのリストとして適用するには:
論理インターフェイス にIPv4ファイアウォールフィルターを適用する階層レベルにCLIをナビゲートします。
ge-1/3/0.0
[edit] user@host# edit interfaces ge-1/3/0 unit 0 family inet
論理インターフェイスのIPv4プロトコルファミリーを設定します。
[edit interfaces ge-1/3/0 unit 0 family inet] user@host# set address 172.16.1.2/30
フィルターを入力フィルターのリストとして適用します。
[edit interfaces ge-1/3/0 unit 0 family inet] user@host# set filter input-list [ filter_FTP filter_SSH filter_Telnet filter_discard ]
受験者の設定を確認してコミットする
ステップバイステップでの手順
候補の設定を確認してコミットするには、次の手順に従います。
設定モード コマンドを入力して、ファイアウォール フィルターの設定 を確認します。
show firewall
コマンドの出力結果に意図した設定内容が表示されない場合は、この例の手順を再実行して設定を修正します。[edit] user@host# show firewall family inet { filter filter_FTP { term 0 { from { protocol tcp; destination-port 21; } then { count pkts_FTP; accept; } } } filter filter_SSH { term 0 { from { protocol tcp; destination-port 22; } then { count pkts_SSH; accept; } } } filter filter_Telnet { term 0 { from { protocol tcp; destination-port 23; } then { count pkts_Telnet; accept; } } } filter filter_discard { term 1 { then { count pkts_discarded; discard; } } } }
設定モード コマンドを入力して、 インターフェイスの設定を確認します。
show interfaces
コマンドの出力結果に意図した設定内容が表示されない場合は、この例の手順を再実行して設定を修正します。[edit] user@host# show interfaces ge-1/3/0 { unit 0 { family inet { filter { input-list [ filter_FTP filter_SSH filter_Telnet filter_discard ]; } address 172.16.1.2/30; } } }
デバイスの設定が完了したら、受験者の設定をコミットします。
[edit] user@host# commit
検証
設定が正常に機能していることを確認します。
インバウンドパケットが、FTP、SSH、またはTelnetポート宛ての場合にのみ受け入れられることの確認
目的
3つのフィルターすべてが論理インターフェイスに対してアクティブになっていることを確認します。
アクション
3つのフィルタに従って入力パケットが受け入れられていることを確認するには:
このルーター(またはスイッチ)の論理インターフェイス に接続されているリモートホストから、ヘッダーに宛先ポート番号21を持つパケットを送信します。
ge-1/3/0.0
パケットが受け入れられる必要があります。このルーター(またはスイッチ)の論理インターフェイス に接続されたリモートホストから、ヘッダーに宛先ポート番号22を持つパケットを送信します。
ge-1/3/0.0
パケットが受け入れられる必要があります。このルーター(またはスイッチ)の論理インターフェイス に接続されているリモートホストから、ヘッダーに宛先ポート番号23を持つパケットを送信します。
ge-1/3/0.0
パケットが受け入れられる必要があります。このルーター(またはスイッチ)の論理インターフェイス に接続されているリモートホストから、21、22、または23 以外の 宛先ポート番号のパケットを送信します。
ge-1/3/0.0
パケットは破棄する必要があります。-
入力 に適用されるフィルターのリストのカウンタ情報を表示するには、 運用モードコマンドを入力します 。
ge-1/3/0.0
show firewall filter ge-1/3/0.0-inet-i
コマンドの出力は、以下のカウンターに関連するフィルター条件に一致するバイト数とパケット数を表示します。-
pkts_FTP-ge-1/3/0.0-inet-i
-
pkts_SSH-ge-1/3/0.0-inet-i
-
pkts_Telnet-ge-1/3/0.0-inet-i
-
pkts_discard-ge-1/3/0.0-inet-i
-