例:インターフェイスグループで受信したパケットを照合するステートレスファイアウォールフィルターの設定と適用
ファイアウォールフィルターは、ネットワークを保護し、ネットワーク管理を簡素化するために不可欠です。Junos OSでは、ステートレスファイアウォールフィルターを設定して、システムを介したデータパケットの通過を制御し、必要に応じてパケットを操作できます。ステートレスファイアウォールフィルターを適用してインターフェイスグループで受信したパケットを照合すると、インターフェイスグループ内の各インターフェイスを通過するパケットをフィルタリングしやすくなります。この例では、特定のインターフェイスグループに対してタグ付けされたパケットに一致するように、標準のステートレスファイアウォールフィルターを設定する方法を示しています。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
ルーティング インスタンスに属するインターフェイスを介して物理的または論理的に接続されている 2 台のジュニパーネットワークスのルーターまたはスイッチ
Junos OS リリース 7.4 以降
概要
ステートレス ファイアウォール フィルターを適用して、インターフェイス グループで受信したパケットを照合できます。
この例では、2 つのルーターまたはスイッチ インターフェイスがインターフェイス グループに属するように設定します。また、ステートレス ファイアウォール フィルターも 3 つの条件で構成します。条件 term1では、フィルターは、そのインターフェイスグループで受信済みとしてタグ付けされたパケットと一致します ICMPプロトコルタグを含む。フィルターは、条件に一致するパケットをカウントし、ログに記録し、拒否します。条件 term2では、フィルターはICMPプロトコルタグを含むパケットに一致します。フィルターは、条件に一致するすべてのパケットをカウントし、ログに記録し、受け入れます。条件 term3 では、フィルターはすべてのトランジットパケットをカウントします。
インターフェイスグループ内のすべてのインターフェイスは、単一のルーティング インスタンスに属している必要があることに注意してください。
ファイアウォールフィルターをループバックインターフェイスに適用すると、インターフェイスはルーティングエンジン宛てのすべてのパケットをフィルタリングします。
CLIクイック設定には、 図 1内のすべてのデバイスの設定が表示されます。「ステップバイステップの手順」セクションでは、デバイスR1の手順について説明します。
設定
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。
デバイスR0
set interfaces ge-0/0/0 unit 0 family inet address 172.16.17.1/30 set interfaces ge-0/0/1 unit 0 family inet address 172.16.19.1/30 set interfaces ge-0/0/2 unit 0 family inet address 20.1.1.1/30 set interfaces lo0 unit 0 family inet address 10.0.0.1/32
デバイスR1
set firewall family inet filter filter_if_group term term1 from interface-group 1 set firewall family inet filter filter_if_group term term1 from protocol icmp set firewall family inet filter filter_if_group term term1 then count if_group_counter1 set firewall family inet filter filter_if_group term term1 then log set firewall family inet filter filter_if_group term term1 then reject set firewall family inet filter filter_if_group term term2 from protocol icmp set firewall family inet filter filter_if_group term term2 then count if_group_counter2 set firewall family inet filter filter_if_group term term2 then log set firewall family inet filter filter_if_group term term2 then accept set firewall family inet filter filter_if_group term term3 then count default set interfaces ge-0/0/0 unit 0 family inet filter group 1 set interfaces ge-0/0/0 unit 0 family inet address 172.16.17.2/30 set interfaces ge-0/0/1 unit 0 family inet address 172.16.19.2/30 set interfaces ge-0/0/2 unit 0 family inet filter group 1 set interfaces ge-0/0/2 unit 0 family inet address 20.1.1.2/30 set interfaces lo0 unit 0 family inet address 20.0.0.1/32 set forwarding-options family inet filter input filter_if_group
インターフェイスグループでのステートレスファイアウォールフィルターの設定と適用
ステップバイステップでの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。CLIのナビゲーションについては、 CLIユーザー・ガイドの設定モードでのCLIエディターの使用を参照してください。
インターフェイスグループでステートレスファイアウォールフィルター filter_if_group を設定するには:
ステートレス ファイアウォール フィルター
filter_if_groupを作成します。[edit firewall] user@R1# edit family inet filter filter_if_group
インターフェイスを設定し、2つのインターフェイスをインターフェイスグループ
1に割り当てます。[edit interfaces] user@R1# set ge-0/0/0 unit 0 family inet filter group 1 user@R1# set ge-0/0/0 unit 0 family inet address 172.16.17.2/30 user@R1# set ge 0/0/1 unit 0 family inet address 172.16.19.2/30 user@R1# set ge-0/0/2 unit 0 family inet filter group 1 user@R1# set ge-0/0/2 unit 0 family inet address 20.1.1.2/30 user@R1# set lo0 unit 0 family inet address 20.0.0.1/32
条件
term1を、インターフェイスグループ1および ICMP プロトコルで受信したパケット と一致するように設定します。[edit firewall] user@R1# set family inet filter filter_if_group term term1 from interface-group 1 user@R1# set family inet filter filter_if_group term term1 from protocol icmp
条件
term1を設定して、一致するすべてのパケットをカウント、ログ記録、拒否します。[edit firewall] user@R1# set family inet filter filter_if_group term term1 then count if_group_counter1 user@R1# set family inet filter filter_if_group term term1 then log user@R1# set family inet filter filter_if_group term term1 then reject
パケットをICMPプロトコルと照合するように条件
term2を設定します。[edit firewall] user@R1# set family inet filter filter_if_group term term2 from protocol icmp
条件
term2を設定して、一致するすべてのパケットをカウントし、ログに記録し、受け入れます。[edit firewall] user@R1# set family inet filter filter_if_group term term2 then count if_group_counter2 user@R1# set family inet filter filter_if_group term term2 then log user@R1# set family inet filter filter_if_group term term2 then accept
すべてのトランジットパケットをカウントするように条件
term3を設定します。[edit firewall] user@R1# set family inet filter filter_if_group term term3 then count default
ファイアウォールフィルターをルーティング インスタンスに適用します。
[edit] user@R1# set forwarding-options family inet filter input filter_if_group
デバイスの設定が完了したら、受験者の設定をコミットします。
[edit] user@host# commit
結果
設定モードから、 show interfaces、 show firewall、および show forwarding-options コマンドを発行して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
[edit]
user@R1# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
filter {
group 1;
}
address 172.16.17.2/30;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 172.16.19.2/30;
}
}
}
ge-0/0/2 {
unit 0 {
family inet {
filter {
group 1;
}
address 20.1.1.2/30;
}
}
}
lo0 {
unit 0 {
family inet {
address 20.0.0.1/32;
}
}
}
[edit]
user@R1# show firewall
family inet {
filter filter_if_group {
term term1 {
from {
interface-group 1;
protocol icmp;
}
then {
count if_group_counter1;
log;
reject;
}
}
term term2 {
from {
protocol icmp;
}
then {
count if_group_counter2;
log;
accept;
}
}
term term3 {
then count default;
}
}
}
[edit]
user@R1# show forwarding-options
family inet {
filter {
input filter_if_group;
}
}
検証
設定が正常に機能していることを確認します。
インターフェイスの設定の確認
目的
インターフェイスが正しく設定されていることを確認します。
アクション
インターフェイスの状態を表示するには、 show interfaces terse 運用モード コマンドを使用します。
デバイスR0
user@R0> show interfaces terse
Interface Admin Link Proto Local Remote
ge-0/0/0 up up
ge-0/0/0.0 up up inet 172.16.17.1/30
multiservice
ge-0/0/1 up up
ge-0/0/1.0 up up inet 172.16.19.1/30
multiservice
ge-0/0/2 up up
ge-0/0/2.0 up up inet 20.1.1.1/30
multiservice
lo0 up up
lo0.0 up up inet 10.0.0.1 --> 0/0デバイスR1
user@R1> show interfaces terse
Interface Admin Link Proto Local Remote
ge-0/0/0 up up
ge-0/0/0.0 up up inet 172.16.17.2/30
multiservice
...
ge-0/0/1 up up
ge-0/0/1.0 up up inet 172.16.19.2/30
multiservice
ge-0/0/2 up up
ge-0/0/2.0 up up inet 20.1.1.2/30
multiservice
...意味
デバイス R0 および R1 のすべてのインターフェイスは、物理的に接続され、稼働しています。デバイス R1 で 1 インターフェイス グループは、ge-0/0/0.0 と ge-0/0/2.0 の 2 つのインターフェイスで構成されています。
ステートレス ファイアウォール フィルター構成の検証
目的
ファイアウォールフィルターの一致条件が正しく設定されていることを確認します。
アクション
ファイアウォール フィルター カウンターを表示するには、
show firewall filter filter_if_group動作モード コマンドを入力します。user@R1> show firewall filter filter_if_group Filter: filter_if_group Counters: Name Bytes Packets default 192975 3396 if_group_counter1 2520 30 if_group_counter2 2604 41
ファイアウォール フィルターで評価されたパケットのパケット ヘッダーのローカル ログを表示するには、
show firewall log運用モード コマンドを入力します。user@R1> show firewall log Log : Time Filter Action Interface Protocol Src Addr Dest Addr 22:27:33 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:33 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:32 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:32 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:31 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:31 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:30 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:30 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:29 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:29 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:29 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:21 pfe A ge-0/0/1.0 ICMP 172.16.19.1 172.16.19.2 22:27:20 pfe A ge-0/0/1.0 ICMP 172.16.19.1 172.16.19.2 22:27:19 pfe A ge-0/0/1.0 ICMP 172.16.19.1 172.16.19.2 22:27:18 pfe A ge-0/0/1.0 ICMP 172.16.19.1 172.16.19.2 22:27:04 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:04 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:27:04 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:04 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:27:02 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:02 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:27:01 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:01 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:27:00 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:00 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:24:48 filter_if_group A fxp0.0 ICMP 10.92.16.2 10.92.26.176
デバイス R1 のインターフェイス グループ
1でファイアウォール フィルターがアクティブであることを確認するには、デバイス R0 の CLI でping <address>operational mode コマンドを使用します。user@R0> ping 172.16.17.2 PING 172.16.17.2 (172.16.17.2): 56 data bytes 36 bytes from 172.16.17.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f46b 0 0000 40 01 6239 172.16.17.1 172.16.17.2 36 bytes from 172.16.17.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f479 0 0000 40 01 622b 172.16.17.1 172.16.17.2 36 bytes from 172.16.17.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f487 0 0000 40 01 621d 172.16.17.1 172.16.17.2
user@R0> ping 20.1.1.2 PING 20.1.1.2 (20.1.1.2): 56 data bytes 36 bytes from 20.1.1.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f5bd 0 0000 40 01 5ae7 20.1.1.1 20.1.1.2 36 bytes from 20.1.1.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f5cd 0 0000 40 01 5ad7 20.1.1.1 20.1.1.2 36 bytes from 20.1.1.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f5d9 0 0000 40 01 5acb 20.1.1.1 20.1.1.2 36 bytes from 20.1.1.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f5f6 0 0000 40 01 5aae 20.1.1.1 20.1.1.2
インターフェイスグループ
1にないインターフェイスにファイアウォールフィルターが適用されないようにするには、デバイスR0のCLIでping <address>operational modeコマンドを使用します。user@R0> ping 172.16.19.2 PING 172.16.19.2 (172.16.19.2): 56 data bytes 64 bytes from 172.16.19.2: icmp_seq=0 ttl=64 time=8.689 ms 64 bytes from 172.16.19.2: icmp_seq=1 ttl=64 time=4.076 ms 64 bytes from 172.16.19.2: icmp_seq=2 ttl=64 time=8.501 ms 64 bytes from 172.16.19.2: icmp_seq=3 ttl=64 time=3.954 ms ...
意味
ステートレス ファイアウォール フィルターは、インターフェイス グループ 1 のすべてのインターフェイスに適用されます。ステートレス ファイアウォール フィルターの term1 一致条件という用語は、インターフェイス グループ 1 のインターフェイスで送信元 ICMP プロトコルを使用して送受信されたパケットをカウント、ログ、および拒否します。一致条件 term2 用語は、ICMPプロトコルでタグ付けされたパケットと一致し、それらのパケットをカウント、ログ、受け入れます。条件 term3 一致条件は、すべてのトランジットパケットをカウントします。