例:受け入れおよび拒否されたパケットをカウントするフィルターの設定
この例では、パケットをカウントするようにファイアウォールフィルターを設定する方法を示しています。
要件
この例を設定する前に、デバイス初期化以外の特別な設定は必要ありません。
概要
この例では、ステートレス ファイアウォール フィルターを使用して、192.168.5.0/24 を除くすべてのアドレスを拒否します。
トポロジ
最初の条件では、 一致条件 address 192.168.5.0/24 except
により、このアドレスは不一致と見なされ、このアドレスはフィルター内の次の条件に渡されます。一致条件 address 0.0.0.0/0
は、他のすべてのパケットと一致し、これらはカウント、ログ記録、および拒否されます。
2番目の条件では、最初の条件(アドレスが一致 192.168.5.0/24
するパケット)を通過したすべてのパケットがカウントされ、ログに記録され、受け入れられます。
設定
次の例では、設定階層内のさまざまなレベルに移動する必要があります。CLI のナビゲーションについては、 を参照してください 設定モードでのCLIエディターの使用。
この例を設定するには、以下のタスクを実行します。
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下の設定コマンドをテキスト ファイルにコピーし、改行を削除してから、 階層レベルの CLI にコマンドを [edit]
貼り付けます。
set firewall family inet filter fire1 term 1 from address 192.168.5.0/24 except set firewall family inet filter fire1 term 1 from address 0.0.0.0/0 set firewall family inet filter fire1 term 1 then count reject_pref1_1 set firewall family inet filter fire1 term 1 then log set firewall family inet filter fire1 term 1 then reject set firewall family inet filter fire1 term 2 then count reject_pref1_2 set firewall family inet filter fire1 term 2 then log set firewall family inet filter fire1 term 2 then accept set interfaces ge-0/0/1 unit 0 family inet filter input fire1 set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30
ステートレス ファイアウォール フィルターの設定
手順
ステートレスファイアウォールフィルター fire1
を設定するには:
ステートレス ファイアウォール フィルターを作成します
fire1
。[edit] user@host# edit firewall family inet filter fire1
最初の条件を設定して、プレフィックスとの間を除くすべてのアドレスを
192.168.5.0/24
拒否し、その後、他のすべてのパケットをカウント、ログ、および拒否します。[edit firewall family inet filter fire1] user@host# set term 1 from address 192.168.5.0/24 except user@host# set term 1 from address 0.0.0.0/0 user@host# set term 1 then count reject_pref1_1 user@host# set term 1 then log user@host# set term 1 then reject
次の条件を設定して、プレフィックス内のパケットをカウント、ログに
192.168.5.0/24
記録、受け入れます。[edit firewall family inet filter fire1] user@host# set term 2 then count reject_pref1_2 user@host# set term 2 then log user@host# set term 2 then accept
ステートレスファイアウォールフィルターを論理インターフェイスに適用する
手順
ステートレスファイアウォールフィルターを論理インターフェイスに適用するには:
ステートレス ファイアウォール フィルターを適用する論理インターフェイスを設定します。
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
論理インターフェイスのインターフェイスアドレスを設定します。
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
ステートレス ファイアウォール フィルターを論理インターフェイスに適用します。
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input fire1
受験者の構成を確認してコミットする
手順
受験者の設定を確認してコミットするには、次の手順に同意します。
設定モードコマンドを入力して、ステートレスファイアウォールフィルターの設定を
show firewall
確認します。コマンド出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。[edit] user@host# show firewall family inet { filter fire1 { term 1 { from { address { 192.168.5.0/24 except; 0.0.0.0/0; } } then { count reject_pref1_1; log; reject; } } term 2 { then { count reject_pref1_2; log; accept; } } } }
設定モードコマンドを入力して、インターフェイスの設定を
show interfaces
確認します。コマンド出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { filter { input fire1; } address 10.1.2.3/30; } } }
デバイスの設定が完了したら、候補の設定をコミットします。
[edit] user@host# commit
検証
設定が正常に機能していることを確認するには、 動作モードコマンドを show firewall filter fire1
入力します。また、以下の形式の コマンドを使用して、ログカウンターと個別のカウンターを個別に表示することもできます。
show firewall counter reject_pref1_1
show firewall counter reject_pref1_2