例:IPv6 TCPフラグに基づいてパケットを受け入れるためのフィルターの設定
この例では、信頼できる送信元からのパケットを受け入れるように、標準のステートレス ファイアウォール フィルターを設定する方法を示します。
要件
この例を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。
概要
この例では、特定の IPv6 TCP フラグを持つパケットを受け入れるフィルターを作成します。
設定
次の例では、設定階層のいくつかのレベルに移動する必要があります。CLI のナビゲーションについては、を参照してください 設定モードでのCLIエディターの使用。
CLIクイック構成
この例をすばやく設定するには、次のコマンドをテキスト ファイルにコピーし、改行を削除してから、 階層レベルの CLI にコマンドを貼り付けます。[edit]
set firewall family inet6 filter tcp_filter term 1 from next-header tcp set firewall family inet6 filter tcp_filter term 1 from tcp-flags syn set firewall family inet6 filter tcp_filter term 1 then count tcp_syn_pkt set firewall family inet6 filter tcp_filter term 1 then log set firewall family inet6 filter tcp_filter term 1 then accept set interfaces lo0 unit 0 family inet6 filter input tcp_filter set interfaces lo0 unit 0 family inet6 address ::10.34.1.0/120
ステートレス ファイアウォール フィルターを構成する
ステップバイステップでの手順
ファイアウォールフィルターを設定するには
IPv6 ステートレス ファイアウォール フィルター を作成します。tcp_filter
[edit] user@host# edit firewall family inet6 filter tcp_filter
パケットがTCPセッションの最初のパケットで、IPv6ヘッダーの後の次のヘッダーがタイプTCPの場合に一致することを指定します。
[edit firewall family inet6 filter tcp_filter] user@host# set term 1 from next-header tcp user@host# set term 1 from tcp-flags syn
一致したパケットがカウントされ、パケット転送エンジンのバッファに記録され、受け入れられることを指定します。
[edit firewall family inet6 filter tcp_filter] user@host# set term 1 then count tcp_syn_pkt user@host# set term 1 then log user@host# set term 1 then accept
ファイアウォールフィルターをループバックインターフェイスに適用します
ステップバイステップでの手順
ファイアウォールフィルターをループバックインターフェイスに適用するには:
[edit] user@host# set interfaces lo0 unit 0 family inet6 filter input tcp_filter user@host# set interfaces lo0 unit 0 family inet6 address ::10.34.1.0/120
受験者の設定を確認してコミットする
ステップバイステップでの手順
候補の設定を確認してコミットするには、次の手順に従います。
設定モード コマンドを入力して 、ステートレス ファイアウォール フィルターの設定を確認します。
show firewall
コマンドの出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。[edit] user@host# show firewall family inet6 { filter tcp_filter { term 1 { from { next-header tcp; tcp-flags syn; } then { count tcp_syn_pkt; log; accept; } } } }
設定モード コマンドを入力して、 インターフェイスの設定を確認します。
show interfaces
コマンドの出力結果に意図した設定内容が表示されない場合は、この例の手順を再実行して設定を修正します。[edit] user@host# show interfaces lo0 { unit 0 { family inet6 { filter { input tcp_filter; } address ::10.34.1.0/120; } } }
デバイスの設定が完了したら、受験者の設定をコミットします。
[edit] user@host# commit
検証
設定が正常に機能していることを確認するには、 運用モードコマンドを入力します 。show firewall