例:プレフィックスから OSPF パケットを受信するためのフィルターの設定
この例では、信頼できる送信元からのパケットを受け入れるように、標準のステートレス ファイアウォール フィルターを設定する方法を示します。
要件
この例を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。
概要
この例では、プレフィックス 10.108.0.0/16 のアドレスからの OSPF パケットのみを受け入れるフィルタを作成し、ICMP メッセージを含む 他のすべてのパケットを破棄しますadministratively-prohibited
設定
次の例では、設定階層のいくつかのレベルに移動する必要があります。CLI のナビゲーションについては、を参照してください 。設定モードでのCLIエディターの使用
この例を設定するには、以下のタスクを実行します。
CLIクイック構成
この例をすばやく設定するには、次の設定コマンドをテキスト ファイルにコピーし、改行を削除してから、 階層レベルの CLI にコマンドを貼り付けます。[edit]
set firewall family inet filter ospf_filter term term1 from source-address 10.108.0.0/16 set firewall family inet filter ospf_filter term term1 from protocol ospf set firewall family inet filter ospf_filter term term1 then accept set firewall family inet filter ospf_filter term default-term then reject administratively-prohibited set interfaces lo0 unit 0 family inet address 10.1.2.3/30 set interfaces lo0 unit 0 family inet filter input ospf_filter
ステートレス ファイアウォール フィルターを構成する
ステップバイステップでの手順
ステートレス ファイアウォール フィルター を設定するには:ospf_filter
フィルターを作成します。
[edit] user@host# edit firewall family inet filter ospf_filter
パケットを受け入れる条件を設定します。
[edit firewall family inet filter ospf_filter] user@host# set term term1 from source-address 10.108.0.0/16 user@host# set term term1 from protocol ospf user@host# set term term1 then accept
他のすべてのパケットを拒否する条件を設定します。
[edit firewall family inet filter ospf_filter] user@host# set term default_term then reject administratively-prohibited
ファイアウォールフィルターをループバックインターフェイスに適用します
ステップバイステップでの手順
ファイアウォールフィルターをループバックインターフェイスに適用するには:
インターフェイスを設定します。
[edit] user@host# edit interfaces lo0 unit 0 family inet
論理インターフェイスの IP アドレスを設定します。
[edit interfaces lo0 unit 0 family inet] user@host# set address 10.1.2.3/30
入力にフィルターを適用します。
[edit interfaces lo0 unit 0 family inet] user@host# set filter input ospf_filter
受験者の設定を確認してコミットする
ステップバイステップでの手順
候補の設定を確認してコミットするには、次の手順に従います。
設定モード コマンドを入力して 、ステートレス ファイアウォール フィルターの設定を確認します。
show firewallコマンドの出力結果に意図した設定内容が表示されない場合は、この例の手順を再実行して設定を修正します。[edit] user@host# show firewall family inet { filter ospf_filter { term term1 { from { source-address { 10.108.0.0/16; } protocol ospf; } then { accept; } } term default_term { then { reject administratively-prohibited; # default reject action } } } }設定モード コマンドを入力して、 インターフェイスの設定を確認します。
show interfacesコマンドの出力結果に意図した設定内容が表示されない場合は、この例の手順を再実行して設定を修正します。[edit] user@host# show interfaces lo0 { unit 0 { family inet { filter { input ospf_filter; } address 10.1.2.3/30; } } }デバイスの設定が完了したら、受験者の設定をコミットします。
[edit] user@host# commit
検証
設定が正常に機能していることを確認するには、 運用モードコマンドを入力します 。show firewall filter ospf_filter