例:アドレスに基づいてDHCPパケットを受け入れるようにフィルタを構成する
この例では、信頼できる送信元からのパケットを受け入れるように、標準のステートレス ファイアウォール フィルターを設定する方法を示します。
要件
この例は、MXシリーズルーターとEXシリーズスイッチでのみサポートされています。
概要
この例では、送信元アドレスが 0.0.0.0、宛先アドレスが 255.255.255.255 の DHCP パケットを受け入れるフィルター(rpf_dhcp)を作成します。
設定
次の例では、設定階層のいくつかのレベルに移動する必要があります。CLIのナビゲーションについては、 設定モードでのCLIエディターの使用を参照してください。
CLIクイック構成
この例をすばやく設定するには、次の設定コマンドをテキスト ファイルにコピーし、改行を削除してから、 [edit] 階層レベルの CLI にコマンドを貼り付けます。
set firewall family inet filter rpf_dhcp term dhcp_term from source-address 0.0.0.0/32 set firewall family inet filter rpf_dhcp term dhcp_term from destination-address 255.255.255.255/32 set firewall family inet filter rpf_dhcp term dhcp_term then accept set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30 set interfaces ge-0/0/1 unit 0 family inet filter input sam
ステートレス ファイアウォール フィルターを構成する
ステップバイステップでの手順
ステートレス ファイアウォール フィルターを構成するには:
ステートレス ファイアウォール フィルター
rpf_dhcpを作成します。[edit] user@host# edit firewall family inet filter rpf_dhcp
送信元アドレスが
0.0.0.0、宛先アドレスが255.255.255.255のパケットを照合するように条件を設定します。[edit firewall family inet filter rpf_dhcp] user@host# set term dhcp_term from source-address 0.0.0.0/32 user@host# set term dhcp_term from destination-address 255.255.255.255/32
指定された条件に一致するパケットを受け入れるように条件を設定します。
[edit firewall family inet filter rpf_dhcp] set term dhcp_term then accept
ファイアウォールフィルターをループバックインターフェイスに適用します
ステップバイステップでの手順
ループバックインターフェイスの入力にフィルターを適用するには:
パケットが想定したパスに到着しない場合は、
rpf_dhcpフィルターを適用します。[edit] user@host# set interfaces lo0 unit 0 family inet rpf-check fail-filter rpf_dhcp
ループバックインターフェイスのアドレスを設定します。
[edit] user@host# set interfaces lo0 unit 0 family inet address 127.0.0.1/32
受験者の設定を確認してコミットする
ステップバイステップでの手順
候補の設定を確認してコミットするには、次の手順に従います。
show firewall設定モード コマンドを入力して、ステートレス ファイアウォール フィルターの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。[edit] user@host# show firewall family inet { filter rpf_dhcp { term dhcp_term { from { source-address { 0.0.0.0/32; } destination-address { 255.255.255.255/32; } } then accept; } } }show interfaces設定モード コマンドを入力して、インターフェイスの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この例の手順を再実行して設定を修正します。[edit] user@host# show interfaces lo0 { unit 0 { family inet { filter { rpf-check { fail-filter rpf_dhcp; mode loose; } } address 127.0.0.1/32; } } }デバイスの設定が完了したら、受験者の設定をコミットします。
[edit] user@host# commit
検証
設定が正常に機能していることを確認するには、 show firewall operational mode コマンドを入力します。