Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

例:Telnet および SSH アクセスをブロックするフィルタを設定する

要件

実行されている 2 Junos OS共有ネットワーク リンクが接続されています。この例を設定する前に、基本的なデバイス初期化(管理インターフェイス、リモート アクセス、ユーザー ログイン アカウントなど)以外の特別な設定を行う必要はありません。厳格な要件ではありません。R2 デバイスへのコンソール アクセスを推奨します。

注:

この例は、コンテンツ テスト チームが検証と更新を行いました。

概要とトポロジー

この例では、パケットが 192.168.1.0/24 サブネットから発生しない限り、ローカル ルーティング エンジン に送信された Telnet または SSH パケットをログに記録して拒否する IPv4 ステートレス ファイアウォール フィルターを作成します。このフィルターはループバック インターフェイスに適用され、ローカル デバイス宛てのトラフィックだけが影響を受け取るのを確認します。フィルターを入力方向に適用します。出力フィルターは使用されません。その結果、ローカルで生成されたトラフィックすべてが許可されます。

  • 特定のサブネットまたは IP プレフィックスから送信されたパケットを一致するには、入力方向に適用された source-address IPv4 の一致条件を使用します。

  • Telnet ポートおよび SSH ポート宛のパケットを一致するには、入力方向に適用された IPv4 の一致条件と組み合わせて protocol tcpport telnetport ssh 使用します。

トポロジーの例

図 1 は、この例のテスト トポロジを示しています。ファイアウォール フィルタは R2 デバイスに適用され、DUT(テスト中のデバイス)になります。R1 と R2 のデバイスは、192.168.1.0/24 のサブネットが割り当てられたリンクを共有します。どちらのデバイスも、/32 サブネット マスクを使用して、192.168.255.0/24 プレフィックスから割り当てられたループバック アドレスを持っています。静的ルートは、内部ゲートウェイ プロトコルとしてループバック アドレス間の到達可能性を提供しますが、この基本例では設定されていません。

図 1: トポロジーの例トポロジーの例

構成

次の例では、構成階層のさまざまなレベルを移動する必要があります。CLI のナビゲートの詳細については、「 Cli エディターを設定モードで使用する」を参照してください。

注意:

サンプル フィルターを設計することで、R1 の共有サブネットからの発信元を持たない Telnet と SSH のアクセスを R2 に制限します。SSH または Telnet を使用して R2 デバイスに直接アクセスすると、フィルターが適用されると接続が失われる可能性があります。この例を設定する際には、コンソールにアクセスする必要があります。必要に応じて、R1 デバイスを jump ホストとして使用して、フィルターを適用した後で R2 への SSH セッションを開始できます。または、サンプル フィルターを変更して、R2 デバイスへのアクセスに使用するマシンに割り当てられた IP サブネットも許可することもできます。

次のタスクを実行して、この例を設定します。

CLI クイック構成

R1 デバイスの簡易構成

R1 デバイスを迅速に設定するには、必要に応じて以下のコマンドを編集し、階層レベルCLIに [edit] 貼り付けます。変更をアクティブにするには、 commit 必ず設定モードからを発行してください。

R2 デバイスの簡易構成

R2 デバイスを迅速に設定するには、必要に応じて以下のコマンドを編集し、階層レベルCLIに [edit] 貼り付けます。変更をアクティブにするには、 commit 必ず設定モードからを発行してください。

ヒント:

デバイスへの commit-confirmed リモート アクセスに影響を与える可能性がある変更を行う際の使用を検討します。詳細 については、「 設定のJunos OSアクティブ化 」 を参照してください。ただし、確認が 必要です。

R1 デバイスの設定

順を追った手順

以下の手順に従って、R1 デバイスを設定します。

  1. インターフェイスを構成します。

  2. R2 デバイスのループバック アドレスに対して、ホスト名と静的ルートを設定します。Telnet および SSH アクセスも設定します。

R1 デバイスでの設定の検証とコミット

順を追った手順

次の手順に従って、受験者の設定を確認して、R1 デバイスでコミットします。

  1. 設定モード コマンドを使用して、 show interfaces インターフェイス設定を確認します。コマンドの出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

  2. R2 デバイスのループバック アドレスに到達するために使用される静的ルート、および SSH および Telnet アクセスが有効になっているか検証します。および 設定 show routing-options モード show system services コマンドを使用します。コマンドの出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

  3. R1 デバイスの設定に問題がなされない場合は、受験者の設定をコミットします。

R2 デバイスの設定

順を追った手順

以下の手順に従って、R2 デバイスを設定します。まず、Telnet および SSH アクセスを選択的にブロックするステートレス ファイアウォール フィルターを定義します。

  1. 以下の階層に edit firewall family inet filter local_acl します。

  2. フィルタ条件を指定 terminal_accessします。この用語は、指定されたソース プレフィックスから Telnet と SSH を使用できます。

  3. フィルタ条件を指定 terminal_access_deniedします。この用語は、他のすべてのソース アドレスからの SSH Telnet を拒否します。この条件は、条件と一致するログを記録し、パケットのソースに到達できない明示的なインターネット制御メッセージ プロトコル(ICMP)宛先を生成するように設定されています。フィルター ロギング オプションの詳細については、「 ファイアウォール フィルター ロギング アクション 」を参照してください。

    ヒント:

    このアクションを使用して、送信元に戻す ICMP エラー メッセージ discard の生成を抑制できます。詳 しくは、 ファイアウォール フィルターターミリング アクション を参照してください。

  4. フィルタ条件の default-term を定義します。この用語は、他のすべてのトラフィックを受け入れる。ステートレス Junos OSフィルタの最後に暗黙的な 拒否 語があるのを思い出してください。デフォルト 条件は、 明示的に受け入れるアクションでフィルターを終了することで、この動作 を上書き します。その結果、その他すべてのトラフィックがファイルによって受け入れられます。

  5. ループバック インターフェイスを設定し、入力方向にフィルタを適用します。

  6. ホスト名 ge-0/0/0 インターフェイス、R1 デバイスのループバック アドレスへの静的ルートを設定し、SSH および Telnet を使用したリモート アクセスを可能にします。

デバイス R2 での設定の検証とコミット

順を追った手順

次の手順に従って、受験者の設定を R2 デバイスで確認してコミットします。

  1. 設定モード コマンドを使用して、ステートレス ファイアウォール フィルタの show firewall 設定を確認します。コマンドの出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

  2. 設定モード コマンドを使用して、インターフェイス設定とフィルタ show interfaces アプリケーションを確認します。コマンドの出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

  3. R1 デバイスのループバック アドレスに到達するために使用する静的ルート、および Telnet および SSH アクセスが有効になっているか検証します。および 設定 show routing-options モード show system services コマンドを使用します。コマンドの出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

  4. R2 デバイスの設定に問題がなされない場合は、受験者の設定をコミットします。

    ヒント:

    デバイスへの commit-confirmed リモート アクセスに影響を与える可能性がある変更を行う際の使用を検討します。詳細 については、「 設定のJunos OSアクティブ化 」 を参照してください。ただし、確認が 必要です。

ステートレス ファイアウォール フィルターの検証

Telnet および SSH アクセスを制限するファイアウォール フィルターが正常に動作しているのを確認します。

受け入れられるパケットを検証

目的

トラフィックが 192.168.1.0/24 サブネットから送信された場合、ファイアウォール フィルターによって SSH と Telnet が正しく許可されていることを検証します。

アクション

  1. ルーターまたはスイッチのファイアウォールログをクリアします。

  2. 192.168.1.0/24 サブネット内の IP アドレスのホストから、 コマンドを使用して、許可されたソース アドレスからssh 192.168.255.2 SSH を使用してデバイスにログインできると確認します。このパケットを受け入れる必要があります。このパケットのパケット ヘッダー情報は、ファイアウォール フィルター ログ バッファのログ バッファに記録パケット転送エンジン。デバイス間のユーザーとして初めてSSHログインを実行する場合は、SSHホスト キーを 保存するよう求 めるプロンプトが表示されます。

    注:

    デフォルトでは、R1デバイスは、宛先に到達するために使用されるエグレス インターフェイスからSSHトラフィックを送信元にします。その結果、このトラフィックは、R1デバイスのge-0/0/0インターフェイスに割り当てられた192.168.1.1アドレスから取得されます。

  3. R2 デバイスでCLIし、SSH セッションを閉じます。

  4. 192.168.1.0/24 サブネット内の IP アドレスのホストから、 コマンドを使用して、許可されたソース アドレスからtelnet 192.168.255.2 Telnet を使用してルーターまたはスイッチにログイン可能か確認します。このパケットを受け入れる必要があります。このパケットのパケット ヘッダー情報は、ファイアウォール フィルター ログ バッファのログ バッファに記録パケット転送エンジン。

  5. サーバーからログアウトしてCLI R2 デバイスへの Telnet セッションを閉じます。

  6. コマンドを使用して、R2 デバイスの パケット転送エンジン(PFE)のファイアウォール ログ バッファに show firewall log 、192.168.1.0/24サブネット内の送信元アドレスを持つエントリーが含っていなかからなか確認します。

ログに記録されたパケットと拒否されたパケットを検証

目的

ファイアウォール フィルターが、192.168.1.0/24 サブネットから発信されない SSH および Telnet トラフィックを正しく拒否することを検証します。

アクション

  1. ルーターまたはスイッチのファイアウォールログをクリアします。

  2. R1 デバイスのループバック アドレスから取得した SSH トラフィックを生成します。このトラフィックの送信元アドレスは 、許可 された 192.168.1.0/24 サブネット外です。コマンドを ssh 192.168.255.2 source 192.168.255.1 使用して、この送信元アドレスからSSHを使用してデバイスにログインできないことを確認します。このパケットを拒否し、パケット ヘッダー情報をファイアウォール フィルター ログ バッファに記録する必要があります。

    この出力は、SSH 接続が拒否された場合を示しています。これにより、フィルターが ICMP エラー メッセージを生成し、許可されないソース アドレスから送信された SSH トラフィックを正しくブロックすることを確認します。

  3. R1 デバイスのループバック アドレスから取得した Telnet トラフィックを生成します。このトラフィックの送信元アドレスは 、許可 された 192.168.1.0/24 サブネット外です。コマンドを telnet 192.168.255.2 source 192.168.255.1 使用して、このソースアドレスから Telnet を使用してデバイスにログインできないことを確認します。このパケットを拒否し、このパケットのパケットヘッダー情報を PFE のファイアウォールフィルタログバッファーに記録する必要があります。

    この出力は、Telnet 接続が拒否された場合に表示されます。これにより、フィルターが ICMP エラー メッセージを生成し、許可されないソース アドレスから送信された Telnet トラフィックを正しくブロックすることを確認します。

  4. コマンドを使用して、R2 デバイスのファイアウォール ログ バッファに、送信元アドレス show firewall log 192.168.255.1 のパケットが拒否されたと示すエントリーが含まれているか確認します。

    出力は、192.168.255.1 の送信元アドレスからのトラフィックがフィルターのサーバー条件と一terminal_access_deniedされました。Action に、 を表示 R して、これらのパケットが拒否されたと示します。インターフェイス、トランスポート プロトコル、送信元と宛先のアドレスも表示されます。これらの結果は、この例でファイアウォール フィルタが正常に機能しているという確認を行います。