例:IP オプション パケットをカウントおよび破棄するフィルターの設定
この例では、標準的なステートレス ファイアウォールを設定してパケットをカウントする方法を示します。
要件
この例を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。
フィルター条件は任意のIP オプション値に一致するため、フィルター条件は、discard終了アクションなしで、または(代替)MXシリーズルーター上の10ギガビットイーサネットモジュラーポートコンセントレータ(MPC)、60ギガビットイーサネットMPC、60ギガビットキューイングイーサネットMPC、または60ギガビットイーサネット拡張キューイングMPC上のインターフェイスを必要とせずに、count非終了アクションを使用 できます。
概要
この例では、標準のステートレス ファイアウォール フィルターを使用して、任意の IP オプション値を含み、それ以外のパケットをすべて受け入れるパケットをカウントして破棄します。
IP オプション ヘッダー フィールドは、IPv4 ヘッダーのみのオプション フィールドです。ip-options および ip-options-except 一致条件は、標準のステートレス ファイアウォール フィルターおよびサービス フィルターでのみサポートされます。
MおよびT Seriesルーターでは、ファイアウォールフィルターはオプションタイプとインターフェイス単位で ip-optionsパケットをカウントできません。限られた回避策は、 show pfe statistics ip options コマンドを使用して、パケット転送エンジン(PFE)単位で ip-options 統計情報を確認することです。サンプル出力については、show pfe statistics ipを参照してください。
設定
次の例では、設定階層のいくつかのレベルに移動する必要があります。CLIのナビゲーションについては、 設定モードでのCLIエディターの使用を参照してください。
この例を設定するには、以下のタスクを実行します。
CLIクイック構成
この例をすばやく設定するには、次の設定コマンドをテキスト ファイルにコピーし、改行を削除してから、 [edit] 階層レベルの CLI にコマンドを貼り付けます。
set firewall family inet filter block_ip_options term 10 from ip-options any set firewall family inet filter block_ip_options term 10 then count option_any set firewall family inet filter block_ip_options term 10 then discard set firewall family inet filter block_ip_options term 999 then accept set interfaces ge-0/0/1 unit 0 family inet filter input block_ip_options set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30
ステートレス ファイアウォール フィルターを構成する
ステップバイステップでの手順
ステートレス ファイアウォール フィルターを構成するには:
ステートレス ファイアウォール フィルター
block_ip_optionsを作成します。[edit] user@host# edit firewall family inet filter block_ip_options
最初の条件を設定して、IP オプションのヘッダー フィールドを含むパケットをカウントし、破棄します。
[edit firewall family inet filter block_ip_options] user@host# set term 10 from ip-options any user@host# set term 10 then count option_any user@host# set term 10 then discard
他の条件は、他のすべてのパケットを受け入れるように設定します。
[edit firewall family inet filter block_ip_options] user@host# set term 999 then accept
ステートレス ファイアウォール フィルターの論理インターフェイスへの適用
ステップバイステップでの手順
ステートレス ファイアウォール フィルターを論理インターフェイスに適用するには:
ステートレス ファイアウォール フィルターを適用する論理インターフェイスを構成します。
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
論理インターフェイスのインターフェイスアドレスを設定します。
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
ステートレス ファイアウォール フィルターを論理インターフェイスに適用します。
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input block_ip_options
受験者の設定を確認してコミットする
ステップバイステップでの手順
候補の設定を確認してコミットするには、次の手順に従います。
show firewall設定モード コマンドを入力して、ステートレス ファイアウォール フィルターの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この例の手順を再実行して設定を修正します。[edit] user@host# show firewall family inet { filter block_ip_options { term 10 { from { ip-options any; } then { count option_any; discard; } } term 999 { then accept; } } }show interfaces設定モード コマンドを入力して、インターフェイスの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この例の手順を再実行して設定を修正します。[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { filter { input block_ip_options; } address 10.1.2.3/30; } } }デバイスの設定が完了したら、受験者の設定をコミットします。
[edit] user@host# commit
検証
設定が正常に機能していることを確認するには、 show firewall filter block_ip_options operational mode コマンドを入力します。破棄されたパケットの数を個別に表示するには、コマンドの show firewall count option_any 形式を入力します。