例:インターフェイスグループでのステートレスファイアウォールフィルターの設定
ファイアウォールフィルターは、ネットワークを保護し、ネットワーク管理を簡素化するために不可欠です。Junos OSでは、ステートレスファイアウォールフィルターを設定して、システムを通過するデータパケットの通過を制御し、必要に応じてパケットを操作できます。ステートレス ファイアウォール フィルターをインターフェイス グループに適用すると、インターフェイス グループ内の各インターフェイスを通過するパケットをフィルタリングするのに役立ちます。この例では、特定のインターフェイスグループに対してタグ付けされたパケットに一致するように、標準のステートレスファイアウォールフィルターを設定する方法を示しています。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
ルーティング インスタンスに属するインターフェイスを介して物理的または論理的に接続されている 2 台のジュニパーネットワークスのルーターまたはスイッチ
Junos OS リリース 7.4 以降
概要
ステートレスファイアウォールフィルターをインターフェイスグループに適用して、インターフェイスグループ内のすべてのインターフェイスに適用することができます。これにより、さまざまなインターフェイス上のパケットフィルタリングを同時に管理することができます。
この例では、2 つのルーターまたはスイッチ インターフェイスがインターフェイス グループに属するように設定します。また、ステートレス ファイアウォール フィルターも 3 つの条件で構成します。条件 term1
では、フィルターは、そのインターフェイスグループで受信済みとしてタグ付けされたパケットと一致します ICMPプロトコルタグを含む。フィルターは、条件に一致するパケットをカウントし、ログに記録し、拒否します。条件 term2
では、フィルターはICMPプロトコルタグを含むパケットに一致します。フィルターは、条件に一致するすべてのパケットをカウントし、ログに記録し、受け入れます。条件 term3
では、フィルターはすべてのトランジットパケットをカウントします。
ファイアウォールフィルターをルーティングインスタンスに適用することで、インターフェイスグループ内のすべてのインターフェイスにフィルタリングメカニズムを同時に適用できます。そのためには、インターフェイス グループ内のすべてのインターフェイスが 1 つのルーティング インスタンスに属している必要があります。
ファイアウォールフィルターをループバックインターフェイスに適用すると、インターフェイスはルーティングエンジン宛てのすべてのパケットをフィルタリングします。
CLIクイック設定には、 図 1内のすべてのデバイスの設定が表示されます。「ステップバイステップの手順」セクションでは、デバイスR1の手順について説明します。
設定
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit]
階層レベルでCLIにコピーアンドペーストして、設定モードから commit
を入力します。
デバイスR0
set interfaces ge-0/0/0 unit 0 family inet address 172.16.17.1/30 set interfaces ge-0/0/1 unit 0 family inet address 172.16.19.1/30 set interfaces ge-0/0/2 unit 0 family inet address 20.1.1.1/30 set interfaces lo0 unit 0 family inet address 10.0.0.1/32
デバイスR1
set firewall family inet filter filter_if_group term term1 from interface-group 1 set firewall family inet filter filter_if_group term term1 from protocol icmp set firewall family inet filter filter_if_group term term1 then count if_group_counter1 set firewall family inet filter filter_if_group term term1 then log set firewall family inet filter filter_if_group term term1 then reject set firewall family inet filter filter_if_group term term2 from protocol icmp set firewall family inet filter filter_if_group term term2 then count if_group_counter2 set firewall family inet filter filter_if_group term term2 then log set firewall family inet filter filter_if_group term term2 then accept set firewall family inet filter filter_if_group term term3 then count default set interfaces ge-0/0/0 unit 0 family inet filter group 1 set interfaces ge-0/0/0 unit 0 family inet address 172.16.17.2/30 set interfaces ge-0/0/1 unit 0 family inet address 172.16.19.2/30 set interfaces ge-0/0/2 unit 0 family inet filter group 1 set interfaces ge-0/0/2 unit 0 family inet address 20.1.1.2/30 set interfaces lo0 unit 0 family inet address 20.0.0.1/32 set forwarding-options family inet filter input filter_if_group
インターフェイスグループでのステートレスファイアウォールフィルターの設定と適用
ステップバイステップでの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。CLIのナビゲーションについては、 CLIユーザー・ガイドの設定モードでのCLIエディターの使用を参照してください。
インターフェイスグループでステートレスファイアウォールフィルター filter_if_group
を設定するには:
ステートレス ファイアウォール フィルター
filter_if_group
を作成します。[edit firewall] user@R1# edit family inet filter filter_if_group
インターフェイスを設定し、2つのインターフェイスをインターフェイスグループ
1
に割り当てます。[edit interfaces] user@R1# set ge-0/0/0 unit 0 family inet filter group 1 user@R1# set ge-0/0/0 unit 0 family inet address 172.16.17.2/30 user@R1# set ge 0/0/1 unit 0 family inet address 172.16.19.2/30 user@R1# set ge-0/0/2 unit 0 family inet filter group 1 user@R1# set ge-0/0/2 unit 0 family inet address 20.1.1.2/30 user@R1# set lo0 unit 0 family inet address 20.0.0.1/32
条件
term1
を、インターフェイスグループ1
および ICMP プロトコルで受信したパケット と一致するように設定します。[edit firewall] user@R1# set family inet filter filter_if_group term term1 from interface-group 1 user@R1# set family inet filter filter_if_group term term1 from protocol icmp
条件
term1
を設定して、一致するすべてのパケットをカウント、ログ記録、拒否します。[edit firewall] user@R1# set family inet filter filter_if_group term term1 then count if_group_counter1 user@R1# set family inet filter filter_if_group term term1 then log user@R1# set family inet filter filter_if_group term term1 then reject
パケットをICMPプロトコルと照合するように条件
term2
を設定します。[edit firewall] user@R1# set family inet filter filter_if_group term term2 from protocol icmp
条件
term2
を設定して、一致するすべてのパケットをカウントし、ログに記録し、受け入れます。[edit firewall] user@R1# set family inet filter filter_if_group term term2 then count if_group_counter2 user@R1# set family inet filter filter_if_group term term2 then log user@R1# set family inet filter filter_if_group term term2 then accept
すべてのトランジットパケットをカウントするように条件
term3
を設定します。[edit firewall] user@R1# set family inet filter filter_if_group term term3 then count default
ファイアウォールフィルターをルーティングインスタンスに適用することで、ルーター(またはスイッチ)のインターフェイスグループに適用します。
[edit] user@R1# set forwarding-options family inet filter input filter_if_group
デバイスの設定が完了したら、受験者の設定をコミットします。
[edit] user@host# commit
結果
設定モードから、 show interfaces
、 show firewall
、および show forwarding-options
コマンドを発行して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
[edit] user@R1# show interfaces ge-0/0/0 { unit 0 { family inet { filter { group 1; } address 172.16.17.2/30; } } } ge-0/0/1 { unit 0 { family inet { address 172.16.19.2/30; } } } ge-0/0/2 { unit 0 { family inet { filter { group 1; } address 20.1.1.2/30; } } } lo0 { unit 0 { family inet { address 20.0.0.1/32; } } }
[edit] user@R1# show firewall family inet { filter filter_if_group { term term1 { from { interface-group 1; protocol icmp; } then { count if_group_counter1; log; reject; } } term term2 { from { protocol icmp; } then { count if_group_counter2; log; accept; } } term term3 { then count default; } } }
[edit] user@R1# show forwarding-options family inet { filter { input filter_if_group; } }
検証
設定が正常に機能していることを確認します。
インターフェイスの設定の確認
目的
インターフェイスが正しく設定されていることを確認します。
アクション
インターフェイスの状態を表示するには、 show interfaces terse
運用モード コマンドを使用します。
デバイスR0
user@R0> show interfaces terse Interface Admin Link Proto Local Remote ge-0/0/0 up up ge-0/0/0.0 up up inet 172.16.17.1/30 multiservice ge-0/0/1 up up ge-0/0/1.0 up up inet 172.16.19.1/30 multiservice ge-0/0/2 up up ge-0/0/2.0 up up inet 20.1.1.1/30 multiservice lo0 up up lo0.0 up up inet 10.0.0.1 --> 0/0
デバイスR1
user@R1> show interfaces terse Interface Admin Link Proto Local Remote ge-0/0/0 up up ge-0/0/0.0 up up inet 172.16.17.2/30 multiservice ... ge-0/0/1 up up ge-0/0/1.0 up up inet 172.16.19.2/30 multiservice ge-0/0/2 up up ge-0/0/2.0 up up inet 20.1.1.2/30 multiservice ...
意味
デバイス R0 および R1 のすべてのインターフェイスは、物理的に接続され、稼働しています。デバイス R1 で 1
インターフェイス グループは、ge-0/0/0.0 と ge-0/0/2.0 の 2 つのインターフェイスで構成されています。
ステートレス ファイアウォール フィルター構成の検証
目的
ファイアウォールフィルターの一致条件が正しく設定されていることを確認します。
アクション
ファイアウォール フィルター カウンターを表示するには、
show firewall filter filter_if_group
動作モード コマンドを入力します。user@R1> show firewall filter filter_if_group Filter: filter_if_group Counters: Name Bytes Packets default 192975 3396 if_group_counter1 2520 30 if_group_counter2 2604 41
ファイアウォール フィルターで評価されたパケットのパケット ヘッダーのローカル ログを表示するには、
show firewall log
運用モード コマンドを入力します。user@R1> show firewall log Log : Time Filter Action Interface Protocol Src Addr Dest Addr 22:27:33 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:33 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:32 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:32 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:31 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:31 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:30 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:30 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:29 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:29 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:29 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:21 pfe A ge-0/0/1.0 ICMP 172.16.19.1 172.16.19.2 22:27:20 pfe A ge-0/0/1.0 ICMP 172.16.19.1 172.16.19.2 22:27:19 pfe A ge-0/0/1.0 ICMP 172.16.19.1 172.16.19.2 22:27:18 pfe A ge-0/0/1.0 ICMP 172.16.19.1 172.16.19.2 22:27:04 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:04 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:27:04 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:04 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:27:02 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:02 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:27:01 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:01 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:27:00 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:00 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:24:48 filter_if_group A fxp0.0 ICMP 10.92.16.2 10.92.26.176
デバイス R1 のインターフェイス グループ
1
でファイアウォール フィルターがアクティブであることを確認するには、デバイス R0 の CLI でping <address>
operational mode コマンドを使用します。user@R0> ping 172.16.17.2 PING 172.16.17.2 (172.16.17.2): 56 data bytes 36 bytes from 172.16.17.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f46b 0 0000 40 01 6239 172.16.17.1 172.16.17.2 36 bytes from 172.16.17.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f479 0 0000 40 01 622b 172.16.17.1 172.16.17.2 36 bytes from 172.16.17.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f487 0 0000 40 01 621d 172.16.17.1 172.16.17.2
user@R0> ping 20.1.1.2 PING 20.1.1.2 (20.1.1.2): 56 data bytes 36 bytes from 20.1.1.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f5bd 0 0000 40 01 5ae7 20.1.1.1 20.1.1.2 36 bytes from 20.1.1.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f5cd 0 0000 40 01 5ad7 20.1.1.1 20.1.1.2 36 bytes from 20.1.1.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f5d9 0 0000 40 01 5acb 20.1.1.1 20.1.1.2 36 bytes from 20.1.1.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f5f6 0 0000 40 01 5aae 20.1.1.1 20.1.1.2
インターフェイスグループ
1
にないインターフェイスにファイアウォールフィルターが適用されないようにするには、デバイスR0のCLIでping <address>
operational modeコマンドを使用します。user@R0> ping 172.16.19.2 PING 172.16.19.2 (172.16.19.2): 56 data bytes 64 bytes from 172.16.19.2: icmp_seq=0 ttl=64 time=8.689 ms 64 bytes from 172.16.19.2: icmp_seq=1 ttl=64 time=4.076 ms 64 bytes from 172.16.19.2: icmp_seq=2 ttl=64 time=8.501 ms 64 bytes from 172.16.19.2: icmp_seq=3 ttl=64 time=3.954 ms ...
意味
ステートレス ファイアウォール フィルターは、インターフェイス グループ 1
のすべてのインターフェイスに適用されます。ステートレス ファイアウォール フィルターの term1
一致条件という用語は、インターフェイス グループ 1
のインターフェイスで送信元 ICMP プロトコルを使用して送受信されたパケットをカウント、ログ、および拒否します。一致条件 term2
用語は、ICMPプロトコルでタグ付けされたパケットと一致し、それらのパケットをカウント、ログ、受け入れます。条件 term3
一致条件は、すべてのトランジットパケットをカウントします。