例:受け付けられたパケットと拒否されたフィルターをカウントするためのフィルタの設定
この例では、ファイアウォールフィルタを設定してパケットをカウントする方法について説明します。
要件
この例を設定する前に、デバイス初期化以外に特別な設定を行う必要はありません。
概要
この例では、ステートレスファイアウォールフィルターを使用して、192.168.5.0/24 以外のすべてのアドレスを拒否しています。
Topology
最初の用語では、match 条件address 192.168.5.0/24 exceptによってこのアドレスが不一致と見なされ、このアドレスがフィルター内の次の用語に渡されるようになります。照合条件address 0.0.0.0/0は他のすべてのパケットと一致し、これらはカウント、ログ、および拒否されます。
2つ目の用語では、最初の条件 (つまり、アドレスが一致192.168.5.0/24するパケット) を通過したすべてのパケットがカウント、ログ、および承認されます。
構成
次の例では、構成階層のさまざまなレベルを移動する必要があります。詳細については、 を参照してください。詳細CLI、 設定モードでの CLI エディターの使用 を参照してください。
この例を構成するには、以下のタスクを実行します。
CLI クイック構成
この例を簡単に構成するには、以下の構成コマンドをテキストファイルにコピーし、改行を削除してから、コマンドを[edit]階層レベルで CLI に貼り付けます。
set firewall family inet filter fire1 term 1 from address 192.168.5.0/24 except set firewall family inet filter fire1 term 1 from address 0.0.0.0/0 set firewall family inet filter fire1 term 1 then count reject_pref1_1 set firewall family inet filter fire1 term 1 then log set firewall family inet filter fire1 term 1 then reject set firewall family inet filter fire1 term 2 then count reject_pref1_2 set firewall family inet filter fire1 term 2 then log set firewall family inet filter fire1 term 2 then accept set interfaces ge-0/0/1 unit 0 family inet filter input fire1 set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30
ステートレスファイアウォールフィルターを構成します。
順を追った手順
ステートレスファイアウォールフィルター fire1を構成するには、次のようにします。
ステートレスファイアウォールフィルター
fire1を作成します。[edit] user@host# edit firewall family inet filter fire1
先頭の用語を設定して、
192.168.5.0/24プレフィックスを除くすべてのアドレスを拒否し、その他すべてのパケットをカウント、ログ、および拒否します。[edit firewall family inet filter fire1] user@host# set term 1 from address 192.168.5.0/24 except user@host# set term 1 from address 0.0.0.0/0 user@host# set term 1 then count reject_pref1_1 user@host# set term 1 then log user@host# set term 1 then reject
192.168.5.0/24プレフィックスのパケットをカウントし、ログに記録し、受信するための次の条件を構成します。[edit firewall family inet filter fire1] user@host# set term 2 then count reject_pref1_2 user@host# set term 2 then log user@host# set term 2 then accept
ステートレスファイアウォールフィルターを論理インターフェイスに適用します。
順を追った手順
ステートレスファイアウォールフィルターを論理インターフェイスに適用するには、次のようにします。
ステートレスファイアウォールフィルターの適用先となる論理インタフェースを設定します。
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
論理インタフェースのインタフェースアドレスを設定します。
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
ステートレスファイアウォールフィルターを論理インターフェイスに適用します。
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input fire1
受験者の構成を確認して確定します。
順を追った手順
候補の設定を確認してからコミットするには、以下のようにします。
show firewall構成モードのコマンドを入力して、ステートレスファイアウォールフィルターの構成を確認します。コマンドの出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。[edit] user@host# show firewall family inet { filter fire1 { term 1 { from { address { 192.168.5.0/24 except; 0.0.0.0/0; } } then { count reject_pref1_1; log; reject; } } term 2 { then { count reject_pref1_2; log; accept; } } } }show interfaces設定モードのコマンドを入力して、インターフェイスの設定を確認します。コマンドの出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { filter { input fire1; } address 10.1.2.3/30; } } }デバイスの設定が完了したら、受験者の設定を確定します。
[edit] user@host# commit
検証
構成が正常に機能していることを確認ファイアウォールの表示 filter fire1するには、運用モードコマンドを入力します。また、以下の形式のコマンドを使用して、ログと個々のカウンターを個別に表示することもできます。
show firewall counter reject_pref1_1show firewall counter reject_pref1_2