Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

例:TFTPアクセスをブロックするフィルターの設定

要件

この例を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。

概要

デフォルトでは、サービス拒否(DoS)攻撃に対する脆弱性を軽減するため、Junos OSは、送信元アドレスが0.0.0.0で宛先アドレスが255.255.255.255の動的ホスト構成プロトコル(DHCP)またはブートストラッププロトコル(BOOTP)パケットをフィルタリングして破棄します。このデフォルト フィルタは、ユニキャスト RPF チェックと呼ばれます。ただし、一部のベンダーの機器は、これらのパケットを自動的に受け入れます。

トポロジー

他のベンダーの機器と相互運用するために、これらのアドレスの両方をチェックし、これらのパケットを受け入れることでデフォルトのRPF-checkフィルタを上書きするフィルタを設定できます。この例では、TFTP(簡易ファイル転送プロトコル)アクセスをブロックし、TFTP 接続を確立しようとする試みをログに記録します。

設定

次の例では、設定階層のいくつかのレベルに移動する必要があります。CLI のナビゲーションについては、を参照してください 設定モードでのCLIエディターの使用

この例を設定するには、以下のタスクを実行します。

CLIクイック構成

この例をすばやく設定するには、次の設定コマンドをテキスト ファイルにコピーし、改行を削除してから、 階層レベルの CLI にコマンドを貼り付けます。[edit]

ステートレス ファイアウォール フィルターを構成する

ステップバイステップでの手順

TFTPアクセスを選択的にブロックするステートレスファイアウォールフィルターを設定するには:

  1. ステートレスファイアウォールフィルター を作成します。tftp_access_control

  2. UDPポート69で受信したパケットの一致を指定します。

  3. 一致したパケットがパケット転送エンジンのバッファに記録され、その後破棄されることを指定します。

ファイアウォールフィルターをループバックインターフェイスに適用します

ステップバイステップでの手順

ファイアウォールフィルターをループバックインターフェイスに適用するには:

受験者の設定を確認してコミットする

ステップバイステップでの手順

候補の設定を確認してコミットするには、次の手順に従います。

  1. 設定モード コマンドを入力して 、ステートレス ファイアウォール フィルターの設定を確認します。show firewall コマンドの出力結果に意図した設定内容が表示されない場合は、この例の手順を再実行して設定を修正します。

  2. 設定モード コマンドを入力して、 インターフェイスの設定を確認します。show interfaces コマンドの出力結果に意図した設定内容が表示されない場合は、この例の手順を再実行して設定を修正します。

  3. デバイスの設定が完了したら、受験者の設定をコミットします。

検証

設定が正常に機能していることを確認します。

ログされたパケットと破棄されたパケットの確認

目的

ファイアウォールフィルター条件のアクションが実行されていることを確認します。

アクション

適用先

  1. ルーターまたはスイッチのファイアウォール ログを消去します。

  2. 別のホストから、このルーターまたはスイッチのUDPポート にパケットを送信します。69