例:受け入れたパケットと拒否されたパケットをカウントするフィルターの設定
この例では、パケットをカウントするようにファイアウォールフィルターを設定する方法を示しています。
要件
この例を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。
概要
この例では、ステートレス ファイアウォール フィルターを使用して、192.168.5.0/24 以外のすべてのアドレスを拒否します。
トポロジー
最初の用語では、一致条件 によりこのアドレスは不一致と見なされ、このアドレスはフィルター内の次の用語に渡されます。address 192.168.5.0/24 except
一致条件 は他のすべてのパケットに一致し、これらはカウント、ロギング、および拒否されます。address 0.0.0.0/0
第 2 タームでは、第 1 タームを通過したすべてのパケット(つまり、アドレスが一致する パケット)がカウント、ロギングされ、受け入れられます。192.168.5.0/24
設定
次の例では、設定階層のいくつかのレベルに移動する必要があります。CLI のナビゲーションについては、を参照してください 。設定モードでのCLIエディターの使用
この例を設定するには、以下のタスクを実行します。
CLIクイック構成
この例をすばやく設定するには、次の設定コマンドをテキスト ファイルにコピーし、改行を削除してから、 階層レベルの CLI にコマンドを貼り付けます。[edit]
set firewall family inet filter fire1 term 1 from address 192.168.5.0/24 except set firewall family inet filter fire1 term 1 from address 0.0.0.0/0 set firewall family inet filter fire1 term 1 then count reject_pref1_1 set firewall family inet filter fire1 term 1 then log set firewall family inet filter fire1 term 1 then reject set firewall family inet filter fire1 term 2 then count reject_pref1_2 set firewall family inet filter fire1 term 2 then log set firewall family inet filter fire1 term 2 then accept set interfaces ge-0/0/1 unit 0 family inet filter input fire1 set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30
ステートレス ファイアウォール フィルターを構成する
ステップバイステップでの手順
ステートレス ファイアウォール フィルター を設定するには:fire1
ステートレスファイアウォールフィルター を作成します。
fire1
[edit] user@host# edit firewall family inet filter fire1
最初の条件を設定して、プレフィックスとの間の アドレス以外のすべてのアドレスを拒否し、その後、他のすべてのパケットをカウント、ログ、拒否します。
192.168.5.0/24
[edit firewall family inet filter fire1] user@host# set term 1 from address 192.168.5.0/24 except user@host# set term 1 from address 0.0.0.0/0 user@host# set term 1 then count reject_pref1_1 user@host# set term 1 then log user@host# set term 1 then reject
プレフィックス内の パケットをカウントし、ログに記録し、受け入れるために、次の条件を設定します。
192.168.5.0/24
[edit firewall family inet filter fire1] user@host# set term 2 then count reject_pref1_2 user@host# set term 2 then log user@host# set term 2 then accept
ステートレス ファイアウォール フィルターの論理インターフェイスへの適用
ステップバイステップでの手順
ステートレス ファイアウォール フィルターを論理インターフェイスに適用するには:
ステートレス ファイアウォール フィルターを適用する論理インターフェイスを構成します。
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
論理インターフェイスのインターフェイスアドレスを設定します。
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
ステートレス ファイアウォール フィルターを論理インターフェイスに適用します。
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input fire1
受験者の設定を確認してコミットする
ステップバイステップでの手順
候補の設定を確認してコミットするには、次の手順に従います。
設定モード コマンドを入力して 、ステートレス ファイアウォール フィルターの設定を確認します。
show firewall
コマンドの出力結果に意図した設定内容が表示されない場合は、この例の手順を再実行して設定を修正します。[edit] user@host# show firewall family inet { filter fire1 { term 1 { from { address { 192.168.5.0/24 except; 0.0.0.0/0; } } then { count reject_pref1_1; log; reject; } } term 2 { then { count reject_pref1_2; log; accept; } } } }
設定モード コマンドを入力して、 インターフェイスの設定を確認します。
show interfaces
コマンドの出力結果に意図した設定内容が表示されない場合は、この例の手順を再実行して設定を修正します。[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { filter { input fire1; } address 10.1.2.3/30; } } }
デバイスの設定が完了したら、受験者の設定をコミットします。
[edit] user@host# commit
検証
設定が正常に機能していることを確認するには、 運用モードコマンドを入力します 。show firewall filter fire1
また、次の形式の コマンドを使用して、ログと個々のカウンタを個別に表示することもできます。
show firewall counter reject_pref1_1
show firewall counter reject_pref1_2