例:複数のファイアウォールフィルターへの参照のネスト
この例では、複数のファイアウォールフィルターへのネストされた参照を設定する方法を示しています。
要件
この例を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。
概要
この例では、複数のファイアウォールフィルターで共有できる一致条件とアクションの組み合わせに対してファイアウォールフィルターを設定します。次に、最初のファイアウォールフィルターを参照する2つのファイアウォールフィルターを設定します。後で、共通のフィルター基準を変更する必要がある場合は、1 つの共有ファイアウォール フィルター構成のみを変更します。
トポロジー
common_filter
ファイアウォール フィルターは、UDP 送信元または宛先ポート フィールド番号が 69
のパケットを破棄します。2 つの追加のファイアウォール フィルター、 filter1
と filter2
はどちらも common_filter
を参照します。
設定
次の例では、設定階層のいくつかのレベルに移動する必要があります。CLIのナビゲーションについては、 設定モードでのCLIエディターの使用を参照してください。
CLIクイック構成
この例をすばやく設定するには、次のコマンドをテキスト ファイルにコピーし、改行を削除してから、 [edit]
階層レベルの CLI にコマンドを貼り付けます。
set firewall family inet filter common_filter term common_term from protocol udp set firewall family inet filter common_filter term common_term from port tftp set firewall family inet filter common_filter term common_term then discard set firewall family inet filter filter1 term term1 filter common_filter set firewall family inet filter filter1 term term2 from address 192.168.0.0/16 set firewall family inet filter filter1 term term2 then reject set firewall family inet filter filter2 term term1 filter common_filter set firewall family inet filter filter2 term term2 from protocol udp set firewall family inet filter filter2 term term2 from port bootps set firewall family inet filter filter2 term term2 then accept set interfaces ge-0/0/0 unit 0 family inet address 10.1.0.1/24 set interfaces ge-0/0/0 unit 0 family inet filter input filter1 set interfaces ge-0/0/3 unit 0 family inet address 10.1.3.1/24 set interfaces ge-0/0/3 unit 0 family inet filter input filter2
ネストされたファイアウォールフィルターを設定する
ステップバイステップでの手順
共通のフィルターを共有する 2 つのネストされたファイアウォールフィルターを設定するには:
CLI を、IPv4 ファイアウォール フィルターを設定する階層レベルに移動します。
[edit] user@host# edit firewall family inet
他の複数のフィルターによって参照される共通フィルターを構成します。
[edit firewall family inet] user@host# set filter common_filter term common_term from protocol udp user@host# set filter common_filter term common_term from port tftp user@host# set filter common_filter term common_term then discard
共通フィルターを参照するフィルターを構成します。
[edit firewall family inet] user@host# set filter filter1 term term1 filter common_filter user@host# set filter filter1 term term2 from address 192.168.0.0/16 user@host# set filter filter1 term term2 then reject
共通フィルターを参照する 2 番目のフィルターを構成します。
[edit firewall family inet] user@host# set filter filter2 term term1 filter common_filter user@host# set filter filter2 term term2 from protocol udp user@host# set filter filter2 term term2 from port bootps user@host# set filter filter2 term term2 then accept
ネストされた両方のファイアウォールフィルターをインターフェイスに適用する
ステップバイステップでの手順
ネストされた両方のファイアウォールフィルターを論理インターフェイスに適用するには:
最初のネストされたフィルターを論理インターフェイス入力に適用します。
[edit] user@host# set interfaces ge-0/0/0 unit 0 family inet address 10.1.0.1/24 user@host# set interfaces ge-0/0/0 unit 0 family inet filter input filter1
2番目のネストされたフィルターを論理インターフェイス入力に適用します。
[edit] user@host# set interfaces ge-0/0/3 unit 0 family inet address 10.1.3.1/24 user@host# set interfaces ge-0/0/3 unit 0 family inet filter input filter2
受験者の設定を確認してコミットする
ステップバイステップでの手順
候補の設定を確認してコミットするには、次の手順に従います。
show firewall
設定モード コマンドを入力して、ファイアウォール フィルターの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この例の手順を再実行して設定を修正します。[edit] user@host# show firewall family inet { filter common_filter { term common_term { from { protocol udp; port tftp; } then { discard; } } } filter filter1 { term term1 { filter common_filter; } term term2 { from { address 192.168/16; } then { reject; } } } filter filter2 { term term1 { filter common_filter; } term term2 { from { protocol udp; port bootps; } then { accept; } } } }
show interfaces
設定モード コマンドを入力して、インターフェイスの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この例の手順を再実行して設定を修正します。[edit] user@host# show interfaces ge-0/0/0 { unit 0 { family inet { filter { input filter1; } address 10.1.0.1/24; } } } ge-0/0/3 { unit 0 { family inet { filter { input filter2; } address 10.1.3.1/24; } } }
デバイスの設定が完了したら、受験者の設定をコミットします。
[edit] user@host# commit
検証
設定が正常に機能していることを確認するには、 show firewall filter filter1
および show firewall filter filter2
動作モード コマンドを入力します。