例:IP オプション パケットをカウントおよび破棄するフィルターの設定
この例では、標準的なステートレス ファイアウォールを設定してパケットをカウントする方法を示します。
要件
この例を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。
フィルター条件は任意のIPオプション値に一致するため、フィルター条件は、終了アクションなしで、または(代わりに)MXシリーズルーター上の10ギガビットイーサネットMPC(モジュラーポートコンセントレータ)、60ギガビットイーサネットMPC、60ギガビットキューイングイーサネットMPC、または60ギガビットイーサネット拡張キューイングMPC上のインターフェイスを必要とせずに、非終了アクションを使用できます。countdiscard
概要
この例では、標準のステートレス ファイアウォール フィルターを使用して、任意の IP オプション値を含み、それ以外のパケットをすべて受け入れるパケットをカウントして破棄します。
IP オプション ヘッダー フィールドは、IPv4 ヘッダーのみのオプション フィールドです。および 一致条件は、標準のステートレスファイアウォールフィルターとサービスフィルターでのみサポートされています。ip-optionsip-options-except
MおよびT Seriesルーターでは、ファイアウォールフィルターはオプションタイプとインターフェイス単位で ip-optionsパケットをカウントできません。限定的な回避策は、 コマンドを使用して、パケット転送エンジン(PFE)単位で統計情報を表示する ことです。show pfe statistics ip optionsip-options サンプル出力については、show pfe statistics ipを参照してください。
設定
次の例では、設定階層のいくつかのレベルに移動する必要があります。CLI のナビゲーションについては、を参照してください 。設定モードでのCLIエディターの使用
この例を設定するには、以下のタスクを実行します。
CLIクイック構成
この例をすばやく設定するには、次の設定コマンドをテキスト ファイルにコピーし、改行を削除してから、 階層レベルの CLI にコマンドを貼り付けます。[edit]
set firewall family inet filter block_ip_options term 10 from ip-options any set firewall family inet filter block_ip_options term 10 then count option_any set firewall family inet filter block_ip_options term 10 then discard set firewall family inet filter block_ip_options term 999 then accept set interfaces ge-0/0/1 unit 0 family inet filter input block_ip_options set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30
ステートレス ファイアウォール フィルターを構成する
ステップバイステップでの手順
ステートレス ファイアウォール フィルターを構成するには:
ステートレスファイアウォールフィルター を作成します。
block_ip_options[edit] user@host# edit firewall family inet filter block_ip_options
最初の条件を設定して、IP オプションのヘッダー フィールドを含むパケットをカウントし、破棄します。
[edit firewall family inet filter block_ip_options] user@host# set term 10 from ip-options any user@host# set term 10 then count option_any user@host# set term 10 then discard
他の条件は、他のすべてのパケットを受け入れるように設定します。
[edit firewall family inet filter block_ip_options] user@host# set term 999 then accept
ステートレス ファイアウォール フィルターの論理インターフェイスへの適用
ステップバイステップでの手順
ステートレス ファイアウォール フィルターを論理インターフェイスに適用するには:
ステートレス ファイアウォール フィルターを適用する論理インターフェイスを構成します。
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
論理インターフェイスのインターフェイスアドレスを設定します。
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
ステートレス ファイアウォール フィルターを論理インターフェイスに適用します。
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input block_ip_options
受験者の設定を確認してコミットする
ステップバイステップでの手順
候補の設定を確認してコミットするには、次の手順に従います。
設定モード コマンドを入力して 、ステートレス ファイアウォール フィルターの設定を確認します。
show firewallコマンドの出力結果に意図した設定内容が表示されない場合は、この例の手順を再実行して設定を修正します。[edit] user@host# show firewall family inet { filter block_ip_options { term 10 { from { ip-options any; } then { count option_any; discard; } } term 999 { then accept; } } }設定モード コマンドを入力して、 インターフェイスの設定を確認します。
show interfacesコマンドの出力結果に意図した設定内容が表示されない場合は、この例の手順を再実行して設定を修正します。[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { filter { input block_ip_options; } address 10.1.2.3/30; } } }デバイスの設定が完了したら、受験者の設定をコミットします。
[edit] user@host# commit
検証
設定が正常に機能していることを確認するには、 運用モードコマンドを入力します 。show firewall filter block_ip_options 破棄されたパケットの数を個別に表示するには、 コマンドの形式で入力します 。show firewall count option_any