例:IPv6 送信元または宛先 IP アドレスに基づくエグレス フィルターの設定
この例では、 inet6 インターフェイスから出るIPv6パケットを受け入れるようにファイアウォールフィルターを設定する方法を示しています。
要件
このトピックでは、Junos OSリリース19.1R1で導入されたEX4300およびQFX5100でサポートされている機能について説明します。この例を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。
概要
この例では、 inet6 インターフェイスのエグレス方向でIPv6の送信元と宛先パケットを受け入れる典型的なファイアウォールフィルターを作成します。ただし、エグレス方向でのフィルタリングをサポートするには、まず [srcip6-and-destip6] または [srcip6-only] オプションを使用してset system packet-forwarding-options eracl-ip6-matchを設定する必要があります。また、設定をコミットした後、パケット転送エンジン(PFE)を再起動する必要があります。
設定
次の例では、設定階層のいくつかのレベルに移動する必要があります。CLIのナビゲーションについては、 設定モードでのCLIエディターの使用を参照してください。
CLIクイック構成
この例をすばやく設定するには、次のコマンドをテキスト ファイルにコピーし、改行を削除してから、 [edit] 階層レベルの CLI にコマンドを貼り付けます。
set system packet-forwarding-options eracl-ip6-match srcip6-and-destip6 set firewall family inet6 filter ipv6_filter term t1 from source-address 3001::10/64 set firewall family inet6 filter ipv6_filter term t1 from destination-address 2001::10/64 set interfaces ge-0/0/0 unit 0 family inet6 filter output ipv6_filter
IPv6 アドレス フィルタリングのシステムを有効にします。
ステップバイステップでの手順
inet6エグレスインターフェイスでIPv6フィルタリング用のファイアウォールフィルターを設定するには:
IPv6 送信元、または IPv6 送信元と宛先 IP アドレスで照合するためのパケット転送オプションを有効にします。この例では、送信元と宛先の両方の IP アドレスの照合を有効にします。
[edit] user@host# set system packet-forwarding-options eracl-ip6-match srcip6-and-destip6
IPv6 ファイアウォールフィルターに使用するインターフェイスにすでにバインドされている既存のファイアウォールフィルターを確認し、必要に応じて削除します。
[edit] user@host# delete interfaces ge-0/0/0 unit 0 family inet6 filter output tcp_filter.
上記の変更をコミットし、PFEを停止・再起動して
packet-forwarding-optionsを受け入れ、IPv6フィルターのPFEをクリアします。EX4300の場合、以下を使用します。
user@host# commit user@host# run request restart pfe-manager
EX4300オンライン シャーシの場合、以下を使用します。
user@host# commit user@host# run request system reboot all-members
QFX5100の場合は、システムを再起動します。
user@host# commit user@host# run request system reboot
tcp_filter という名前の IPv6 ファイアウォール フィルターを作成します。
[edit] user@host# edit firewall family inet6 filter tcp_filter
必要なフィルターアクションをここで設定し、設定した範囲内でIPv6の送信元または宛先アドレスを持つパケットを照合します。
[edit firewall family inet6 filter tcp_filter] user@host# set term t1 from source-address 3001::10/64 user@host# set term t1 from destination-address 2001::10/64
一致したパケットがカウントされ、PFEのバッファに記録され、受け入れられることを指定します。
[edit firewall family inet6 filter tcp_filter] user@host# set term t1 then count egress_ipv6-packets user@host# set term t1 then log user@host# set term t1 then accept
ファイアウォールフィルターをエグレスインターフェイスに適用します
ステップバイステップでの手順
ファイアウォールフィルターをエグレスinet6インターフェイスに適用するには、次のように入力します。
user@host# set interfaces ge-0/0/0 unit 0 family inet6 filter output tcp_filter
受験者の設定を確認してコミットする
ステップバイステップでの手順
候補の設定を確認してコミットするには、次の手順に従います。
show firewall設定モード コマンドを入力して、ファイアウォール フィルターの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。[edit] user@host# show firewall family inet6 { filter tcp_filter { term t1 { from { source-address 3001::10/64; destination-address 2001::10/64; } then { count egress_ipv6-packets; log; accept; } } } }show interfaces設定モード コマンドを入力して、インターフェイスの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この例の手順を再実行して設定を修正します。[edit] user@host# show interfaces ge-0/0/0 { unit 0 { family inet6 { filter { output tcp_filter; } source-address 3001::10/64; destination-address 2001::10/64; } } }デバイスの設定が完了したら、候補の設定をコミットします。
[edit] user@host# commit