例:インターフェイスグループでのステートレスファイアウォールフィルターの設定
ファイアウォールフィルターは、ネットワークを保護し、ネットワーク管理を簡素化するために不可欠です。Junos OSでは、ステートレスファイアウォールフィルターを設定して、システムを通過するデータパケットの通過を制御し、必要に応じてパケットを操作できます。ステートレス ファイアウォール フィルターをインターフェイス グループに適用すると、インターフェイス グループ内の各インターフェイスを通過するパケットをフィルタリングするのに役立ちます。この例では、特定のインターフェイスグループに対してタグ付けされたパケットに一致するように、標準のステートレスファイアウォールフィルターを設定する方法を示しています。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
ルーティング インスタンスに属するインターフェイスを介して物理的または論理的に接続されている 2 台のジュニパーネットワークスのルーターまたはスイッチ
Junos OS リリース 7.4 以降
概要
ステートレスファイアウォールフィルターをインターフェイスグループに適用して、インターフェイスグループ内のすべてのインターフェイスに適用することができます。これにより、さまざまなインターフェイス上のパケットフィルタリングを同時に管理することができます。
この例では、2 つのルーターまたはスイッチ インターフェイスがインターフェイス グループに属するように設定します。また、ステートレス ファイアウォール フィルターも 3 つの条件で構成します。term では、フィルターは、そのインターフェイスグループ term1で受信済みとしてタグ付けされ、ICMPプロトコルタグを含むパケットと一致します。フィルターは、条件に一致するパケットをカウントし、ログに記録し、拒否します。term では、フィルターは ICMP プロトコルタグを含むパケットに一致します。term2 フィルターは、条件に一致するすべてのパケットをカウントし、ログに記録し、受け入れます。term では、フィルターはすべてのトランジットパケットをカウントします。term3
ファイアウォールフィルターをルーティングインスタンスに適用することで、インターフェイスグループ内のすべてのインターフェイスにフィルタリングメカニズムを同時に適用できます。そのためには、インターフェイス グループ内のすべてのインターフェイスが 1 つのルーティング インスタンスに属している必要があります。
ファイアウォールフィルターをループバックインターフェイスに適用すると、インターフェイスはルーティングエンジン宛てのすべてのパケットをフィルタリングします。
CLIクイック設定には、 にある すべてのデバイスの設定が表示されます。図 1「ステップバイステップの手順」セクションでは、デバイスR1の手順について説明します。
設定
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。
デバイスR0
set interfaces ge-0/0/0 unit 0 family inet address 172.16.17.1/30 set interfaces ge-0/0/1 unit 0 family inet address 172.16.19.1/30 set interfaces ge-0/0/2 unit 0 family inet address 20.1.1.1/30 set interfaces lo0 unit 0 family inet address 10.0.0.1/32
デバイスR1
set firewall family inet filter filter_if_group term term1 from interface-group 1 set firewall family inet filter filter_if_group term term1 from protocol icmp set firewall family inet filter filter_if_group term term1 then count if_group_counter1 set firewall family inet filter filter_if_group term term1 then log set firewall family inet filter filter_if_group term term1 then reject set firewall family inet filter filter_if_group term term2 from protocol icmp set firewall family inet filter filter_if_group term term2 then count if_group_counter2 set firewall family inet filter filter_if_group term term2 then log set firewall family inet filter filter_if_group term term2 then accept set firewall family inet filter filter_if_group term term3 then count default set interfaces ge-0/0/0 unit 0 family inet filter group 1 set interfaces ge-0/0/0 unit 0 family inet address 172.16.17.2/30 set interfaces ge-0/0/1 unit 0 family inet address 172.16.19.2/30 set interfaces ge-0/0/2 unit 0 family inet filter group 1 set interfaces ge-0/0/2 unit 0 family inet address 20.1.1.2/30 set interfaces lo0 unit 0 family inet address 20.0.0.1/32 set forwarding-options family inet filter input filter_if_group
インターフェイスグループでのステートレスファイアウォールフィルターの設定と適用
ステップバイステップでの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。CLIのナビゲーションについては、 CLIユーザーガイドの「」を参照してください。設定モードでのCLIエディターの使用https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html
インターフェイスグループでステートレスファイアウォールフィルター を設定するには:filter_if_group
ステートレスファイアウォールフィルター を作成します。
filter_if_group[edit firewall] user@R1# edit family inet filter filter_if_group
インターフェイスを設定し、2つのインターフェイスをインターフェイスグループ に割り当てます。
1[edit interfaces] user@R1# set ge-0/0/0 unit 0 family inet filter group 1 user@R1# set ge-0/0/0 unit 0 family inet address 172.16.17.2/30 user@R1# set ge 0/0/1 unit 0 family inet address 172.16.19.2/30 user@R1# set ge-0/0/2 unit 0 family inet filter group 1 user@R1# set ge-0/0/2 unit 0 family inet address 20.1.1.2/30 user@R1# set lo0 unit 0 family inet address 20.0.0.1/32
インターフェイスグループで受信したパケットをICMPプロトコルと照合するように条件を設定します。
term11[edit firewall] user@R1# set family inet filter filter_if_group term term1 from interface-group 1 user@R1# set family inet filter filter_if_group term term1 from protocol icmp
条件 を設定して、一致するパケットをすべてカウント、ログ、拒否します。
term1[edit firewall] user@R1# set family inet filter filter_if_group term term1 then count if_group_counter1 user@R1# set family inet filter filter_if_group term term1 then log user@R1# set family inet filter filter_if_group term term1 then reject
パケットをICMPプロトコルと一致させるように条件 を設定します。
term2[edit firewall] user@R1# set family inet filter filter_if_group term term2 from protocol icmp
条件を設定して、一致するパケットをすべてカウントし、ログに記録し、受け入れます。
term2[edit firewall] user@R1# set family inet filter filter_if_group term term2 then count if_group_counter2 user@R1# set family inet filter filter_if_group term term2 then log user@R1# set family inet filter filter_if_group term term2 then accept
すべてのトランジットパケットをカウントするように term を設定します。
term3[edit firewall] user@R1# set family inet filter filter_if_group term term3 then count default
ファイアウォールフィルターをルーティングインスタンスに適用することで、ルーター(またはスイッチ)のインターフェイスグループに適用します。
[edit] user@R1# set forwarding-options family inet filter input filter_if_group
デバイスの設定が完了したら、受験者の設定をコミットします。
[edit] user@host# commit
結果
設定モードから、、、および のコマンドを発行して設定を確認します。show interfacesshow firewallshow forwarding-options 出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
[edit]
user@R1# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
filter {
group 1;
}
address 172.16.17.2/30;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 172.16.19.2/30;
}
}
}
ge-0/0/2 {
unit 0 {
family inet {
filter {
group 1;
}
address 20.1.1.2/30;
}
}
}
lo0 {
unit 0 {
family inet {
address 20.0.0.1/32;
}
}
}
[edit]
user@R1# show firewall
family inet {
filter filter_if_group {
term term1 {
from {
interface-group 1;
protocol icmp;
}
then {
count if_group_counter1;
log;
reject;
}
}
term term2 {
from {
protocol icmp;
}
then {
count if_group_counter2;
log;
accept;
}
}
term term3 {
then count default;
}
}
}
[edit]
user@R1# show forwarding-options
family inet {
filter {
input filter_if_group;
}
}
検証
設定が正常に機能していることを確認します。
インターフェイスの設定の確認
目的
インターフェイスが正しく設定されていることを確認します。
アクション
インターフェイスの状態を表示するには、 運用 モード コマンドを使用します。show interfaces terse
デバイスR0
user@R0> show interfaces terse
Interface Admin Link Proto Local Remote
ge-0/0/0 up up
ge-0/0/0.0 up up inet 172.16.17.1/30
multiservice
ge-0/0/1 up up
ge-0/0/1.0 up up inet 172.16.19.1/30
multiservice
ge-0/0/2 up up
ge-0/0/2.0 up up inet 20.1.1.1/30
multiservice
lo0 up up
lo0.0 up up inet 10.0.0.1 --> 0/0デバイスR1
user@R1> show interfaces terse
Interface Admin Link Proto Local Remote
ge-0/0/0 up up
ge-0/0/0.0 up up inet 172.16.17.2/30
multiservice
...
ge-0/0/1 up up
ge-0/0/1.0 up up inet 172.16.19.2/30
multiservice
ge-0/0/2 up up
ge-0/0/2.0 up up inet 20.1.1.2/30
multiservice
...意味
デバイス R0 および R1 のすべてのインターフェイスは、物理的に接続され、稼働しています。デバイス R1 のインターフェイス グループは 、ge-0/0/0.0 と ge-0/0/2.0 の 2 つのインターフェイスで構成されています。1
ステートレス ファイアウォール フィルター構成の検証
目的
ファイアウォールフィルターの一致条件が正しく設定されていることを確認します。
アクション
ファイアウォールフィルターカウンターを表示するには、 運用モードコマンドを入力します 。
show firewall filter filter_if_groupuser@R1> show firewall filter filter_if_group Filter: filter_if_group Counters: Name Bytes Packets default 192975 3396 if_group_counter1 2520 30 if_group_counter2 2604 41
ファイアウォールフィルターで評価されたパケットのパケットヘッダーのローカルログを表示するには、 運用モードコマンドを入力します 。
show firewall loguser@R1> show firewall log Log : Time Filter Action Interface Protocol Src Addr Dest Addr 22:27:33 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:33 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:32 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:32 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:31 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:31 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:30 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:30 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:29 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:29 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:29 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:21 pfe A ge-0/0/1.0 ICMP 172.16.19.1 172.16.19.2 22:27:20 pfe A ge-0/0/1.0 ICMP 172.16.19.1 172.16.19.2 22:27:19 pfe A ge-0/0/1.0 ICMP 172.16.19.1 172.16.19.2 22:27:18 pfe A ge-0/0/1.0 ICMP 172.16.19.1 172.16.19.2 22:27:04 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:04 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:27:04 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:04 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:27:02 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:02 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:27:01 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:01 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:27:00 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:00 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:24:48 filter_if_group A fxp0.0 ICMP 10.92.16.2 10.92.26.176
デバイス R1 のインターフェイス グループ でファイアウォール フィルターがアクティブであることを確認するには、デバイス R0 の CLI で 動作 モード コマンドを使用します。
1ping <address>user@R0> ping 172.16.17.2 PING 172.16.17.2 (172.16.17.2): 56 data bytes 36 bytes from 172.16.17.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f46b 0 0000 40 01 6239 172.16.17.1 172.16.17.2 36 bytes from 172.16.17.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f479 0 0000 40 01 622b 172.16.17.1 172.16.17.2 36 bytes from 172.16.17.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f487 0 0000 40 01 621d 172.16.17.1 172.16.17.2
user@R0> ping 20.1.1.2 PING 20.1.1.2 (20.1.1.2): 56 data bytes 36 bytes from 20.1.1.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f5bd 0 0000 40 01 5ae7 20.1.1.1 20.1.1.2 36 bytes from 20.1.1.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f5cd 0 0000 40 01 5ad7 20.1.1.1 20.1.1.2 36 bytes from 20.1.1.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f5d9 0 0000 40 01 5acb 20.1.1.1 20.1.1.2 36 bytes from 20.1.1.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f5f6 0 0000 40 01 5aae 20.1.1.1 20.1.1.2
インターフェイス グループ に属していないインターフェイスにファイアウォール フィルターが適用されていないことを確認するには、デバイス R0 の CLI で 運用 モード コマンドを使用します。
1ping <address>user@R0> ping 172.16.19.2 PING 172.16.19.2 (172.16.19.2): 56 data bytes 64 bytes from 172.16.19.2: icmp_seq=0 ttl=64 time=8.689 ms 64 bytes from 172.16.19.2: icmp_seq=1 ttl=64 time=4.076 ms 64 bytes from 172.16.19.2: icmp_seq=2 ttl=64 time=8.501 ms 64 bytes from 172.16.19.2: icmp_seq=3 ttl=64 time=3.954 ms ...
意味
ステートレス ファイアウォール フィルターは、インターフェイス グループ 内のすべてのインターフェイスに適用されます。1 ステートレス ファイアウォール フィルターの用語 一致条件は、インターフェイス グループ 内のインターフェイスで、送信元 ICMP プロトコルを使用して送受信されたパケットをカウント、ログ、および拒否します。term11 条件一致条件 は、ICMPプロトコルでタグ付けされたパケットを照合し、それらのパケットをカウント、ログ、受け入れます。term2 条件 一致は、すべてのトランジットパケットをカウントします。term3