Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

例:TFTPアクセスをブロックするフィルターの設定

要件

この例を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。

概要

デフォルトでは、サービス拒否(DoS)攻撃に対する脆弱性を軽減するため、Junos OSは、送信元アドレスが0.0.0.0で宛先アドレスが255.255.255.255の動的ホスト構成プロトコル(DHCP)またはブートストラッププロトコル(BOOTP)パケットをフィルタリングして破棄します。このデフォルト フィルタは、ユニキャスト RPF チェックと呼ばれます。ただし、一部のベンダーの機器は、これらのパケットを自動的に受け入れます。

トポロジー

他のベンダーの機器と相互運用するために、これらのアドレスの両方をチェックし、これらのパケットを受け入れることでデフォルトのRPF-checkフィルタを上書きするフィルタを設定できます。この例では、TFTP(簡易ファイル転送プロトコル)アクセスをブロックし、TFTP 接続を確立しようとする試みをログに記録します。

設定

次の例では、設定階層のいくつかのレベルに移動する必要があります。CLIのナビゲーションについては、 設定モードでのCLIエディターの使用を参照してください。

この例を設定するには、以下のタスクを実行します。

CLIクイック構成

この例をすばやく設定するには、次の設定コマンドをテキスト ファイルにコピーし、改行を削除してから、 [edit] 階層レベルの CLI にコマンドを貼り付けます。

ステートレス ファイアウォール フィルターを構成する

ステップバイステップでの手順

TFTPアクセスを選択的にブロックするステートレスファイアウォールフィルターを設定するには:

  1. ステートレス ファイアウォール フィルター tftp_access_controlを作成します。

  2. UDPポート69で受信したパケットの一致を指定します。

  3. 一致したパケットがパケット転送エンジンのバッファに記録され、その後破棄されることを指定します。

ファイアウォールフィルターをループバックインターフェイスに適用します

ステップバイステップでの手順

ファイアウォールフィルターをループバックインターフェイスに適用するには:

受験者の設定を確認してコミットする

ステップバイステップでの手順

候補の設定を確認してコミットするには、次の手順に従います。

  1. show firewall 設定モード コマンドを入力して、ステートレス ファイアウォール フィルターの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この例の手順を再実行して設定を修正します。

  2. show interfaces 設定モード コマンドを入力して、インターフェイスの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この例の手順を再実行して設定を修正します。

  3. デバイスの設定が完了したら、受験者の設定をコミットします。

検証

設定が正常に機能していることを確認します。

ログされたパケットと破棄されたパケットの確認

目的

ファイアウォールフィルター条件のアクションが実行されていることを確認します。

アクション

適用先

  1. ルーターまたはスイッチのファイアウォール ログを消去します。

  2. 別のホストから、このルーターまたはスイッチのUDPポート69 にパケットを送信します。

関連項目