例:プレフィックスから OSPF パケットを受信するためのフィルターの設定
この例では、信頼できる送信元からのパケットを受け入れるように、標準のステートレス ファイアウォール フィルターを設定する方法を示します。
要件
この例を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。
概要
この例では、プレフィックス 10.108.0.0/16 のアドレスからの OSPF パケットのみを受け入れるフィルタを作成し、 administratively-prohibited ICMP メッセージを持つ他のすべてのパケットを破棄します
設定
次の例では、設定階層のいくつかのレベルに移動する必要があります。CLIのナビゲーションについては、 設定モードでのCLIエディターの使用を参照してください。
この例を設定するには、以下のタスクを実行します。
CLIクイック構成
この例をすばやく設定するには、次の設定コマンドをテキスト ファイルにコピーし、改行を削除してから、 [edit] 階層レベルの CLI にコマンドを貼り付けます。
set firewall family inet filter ospf_filter term term1 from source-address 10.108.0.0/16 set firewall family inet filter ospf_filter term term1 from protocol ospf set firewall family inet filter ospf_filter term term1 then accept set firewall family inet filter ospf_filter term default-term then reject administratively-prohibited set interfaces lo0 unit 0 family inet address 10.1.2.3/30 set interfaces lo0 unit 0 family inet filter input ospf_filter
ステートレス ファイアウォール フィルターを構成する
ステップバイステップでの手順
ステートレス ファイアウォール フィルター ospf_filterを構成するには:
フィルターを作成します。
[edit] user@host# edit firewall family inet filter ospf_filter
パケットを受け入れる条件を設定します。
[edit firewall family inet filter ospf_filter] user@host# set term term1 from source-address 10.108.0.0/16 user@host# set term term1 from protocol ospf user@host# set term term1 then accept
他のすべてのパケットを拒否する条件を設定します。
[edit firewall family inet filter ospf_filter] user@host# set term default_term then reject administratively-prohibited
ファイアウォールフィルターをループバックインターフェイスに適用します
ステップバイステップでの手順
ファイアウォールフィルターをループバックインターフェイスに適用するには:
インターフェイスを設定します。
[edit] user@host# edit interfaces lo0 unit 0 family inet
論理インターフェイスの IP アドレスを設定します。
[edit interfaces lo0 unit 0 family inet] user@host# set address 10.1.2.3/30
入力にフィルターを適用します。
[edit interfaces lo0 unit 0 family inet] user@host# set filter input ospf_filter
受験者の設定を確認してコミットする
ステップバイステップでの手順
候補の設定を確認してコミットするには、次の手順に従います。
show firewall設定モード コマンドを入力して、ステートレス ファイアウォール フィルターの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この例の手順を再実行して設定を修正します。[edit] user@host# show firewall family inet { filter ospf_filter { term term1 { from { source-address { 10.108.0.0/16; } protocol ospf; } then { accept; } } term default_term { then { reject administratively-prohibited; # default reject action } } } }show interfaces設定モード コマンドを入力して、インターフェイスの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この例の手順を再実行して設定を修正します。[edit] user@host# show interfaces lo0 { unit 0 { family inet { filter { input ospf_filter; } address 10.1.2.3/30; } } }デバイスの設定が完了したら、受験者の設定をコミットします。
[edit] user@host# commit
検証
設定が正常に機能していることを確認するには、 show firewall filter ospf_filter operational mode コマンドを入力します。