例:関連性のない 2 つの基準に一致するようにフィルターを構成する
この例では、標準のステートレス ファイアウォール フィルターを、関連性のない 2 つの基準で照合するように設定する方法を示します。
要件
この例を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。
概要
この例では、標準のステートレス ファイアウォール フィルターを使用して、OSPF パケットまたはプレフィックス 10.108/16
のアドレスから送信されたパケットのいずれかである IPv4 パケットを照合し、一致しないすべてのパケットに対して administratively-prohibited
ICMP メッセージを送信 します。
設定
次の例では、設定階層のいくつかのレベルに移動する必要があります。CLIのナビゲーションについては、 設定モードでのCLIエディターの使用を参照してください。
この例を設定するには、以下のタスクを実行します。
CLIクイック構成
この例をすばやく設定するには、次の設定コマンドをテキスト ファイルにコピーし、改行を削除してから、 [edit]
階層レベルの CLI にコマンドを貼り付けます。
set firewall family inet filter ospf_or_131 term protocol_match from protocol ospf set firewall family inet filter ospf_or_131 term address-match from source-address 10.108.0.0/16 set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30 set interfaces ge-0/0/1 unit 0 family inet filter input ospf_or_131
IPv4ファイアウォールフィルターの設定
ステップバイステップでの手順
IPv4ファイアウォールフィルターを設定するには:
IPv4ファイアウォールフィルターの設定を有効にします。
[edit] user@host# edit firewall family inet filter ospf_or_131
OSPFパケットを受け入れるように最初の条件を設定します。
[edit firewall family inet filter ospf_or_131] user@host# set term protocol_match from protocol ospf
条件に一致するパケットは、デフォルトで受け入れられます。この条件の後に別の条件が続くため、この条件に一致しないパケットは次の条件によって評価されます。
2 番目の条件を設定して、特定のプレフィックスの任意の IPv4 アドレスからパケットを受信します。
[edit firewall family inet filter ospf_or_131] user@host# set term address_match from source-address 10.108.0.0/16
この条件に一致するパケットは、デフォルトで受け入れられます。これはフィルターの最後の項であるため、この条件に一致しないパケットはデフォルトで破棄されます。
結果
show firewall
設定モード コマンドを入力して、ステートレス ファイアウォール フィルターの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この手順の手順を繰り返して設定を修正します。
[edit] user@host# show firewall family inet { filter ospf_or_131 { term protocol_match { from { protocol ospf; } } term address_match { from { source-address { 10.108.0.0/16; } } } } }
論理インターフェイスへのIPv4ファイアウォールフィルターの適用
ステップバイステップでの手順
ステートレス ファイアウォール フィルターを論理インターフェイスに適用するには:
論理インターフェイスの設定を有効にします。
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
論理インターフェイスのIPアドレスを設定します。
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
IPv4ファイアウォールフィルターを論理インターフェイスに適用します。
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input ospf_or_131
結果
show interfaces
設定モード コマンドを入力して、インターフェイスの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この手順の手順を繰り返して設定を修正します。
[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { filter { input ospf_or_131; } address 10.1.2.3/30; } } }
デバイスの設定が完了したら、設定モードから commit
を入力します。
検証
設定が正常に機能していることを確認するには、 show firewall filter ospf_or_131
operational mode コマンドを入力します。