例:TFTP アクセスをブロックするフィルタの設定
要件
この例を設定する前に、デバイス初期化以外の特別な設定は必要ありません。
概要
デフォルトでは、サービス拒否(DoS)攻撃の脆弱性を減少させるために、Junos OS は、送信元アドレスが 0.0.0.0、宛先アドレスが 255.255.255.255 の動的ホスト構成プロトコル(DHCP)またはブートストラップ プロトコル(BOOTP)パケットをフィルタリングして破棄します。このデフォルト フィルタは、ユニキャスト RPF チェックと呼ばれます。ただし、一部のベンダーの機器はこれらのパケットを自動的に受け入れます。
トポロジ
他のベンダーの機器と相互運用するには、これらの両方のアドレスをチェックするフィルタを設定し、これらのパケットを受け入れることによってデフォルトのRPFチェックフィルタを上書きします。この例では、トリビアル ファイル転送プロトコル(TFTP)アクセスをブロックし、TFTP 接続確立の試行をロギングします。
設定
次の例では、設定階層のさまざまなレベルに移動する必要があります。CLI のナビゲーションの詳細については、 を参照してください 設定モードでのCLIエディターの使用。
この例を設定するには、次のタスクを実行します。
CLI クイック設定
この例を迅速に設定するには、次の設定コマンドをテキスト ファイルにコピーし、改行を削除してから、コマンドを階層レベルで [edit]
CLI に貼り付けます。
set firewall family inet filter tftp_access_control term one from protocol udp set firewall family inet filter tftp_access_control term one from port tftp set firewall family inet filter tftp_access_control term one then log set firewall family inet filter tftp_access_control term one then discard set interfaces lo0 unit 0 family inet filter input tftp_access_control set interfaces lo0 unit 0 family inet address 127.0.0.1/32
ステートレス ファイアウォール フィルタの設定
手順
TFTP アクセスを選択的にブロックするステートレス ファイアウォール フィルタを設定するには、次の手順に基づきます。
ステートレス ファイアウォール フィルターを作成します
tftp_access_control
。[edit] user@host# edit firewall family inet filter tftp_access_control
UDP ポート 69 で受信したパケットの一致を指定します。
[edit firewall family inet filter tftp_access_control] user@host# set term one from protocol udp user@host# set term one from port tftp
一致するパケットをパケット転送エンジン上のバッファーに記録し、破棄することを指定します。
[edit firewall family inet filter tftp_access_control] user@host# set term one then log user@host# set term one then discard
ループバック インターフェイスにファイアウォール フィルタを適用する
手順
ループバック インターフェイスにファイアウォール フィルタを適用するには、次の手順にしたがってください。
[edit] user@host# set interfaces lo0 unit 0 family inet filter input tftp_access_control user@host# set interfaces lo0 unit 0 family inet address 127.0.0.1/32
受験者の構成を確認してコミットする
手順
受験者の設定を確認してコミットするには、次の手順に応えます。
設定モード コマンドを入力して、ステートレス ファイアウォール フィルタの設定を
show firewall
確認します。コマンド出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。[edit] user@host# show firewall family inet { filter tftp_access_control { term one { from { protocol udp; port tftp; } then { log; discard; } } } }
設定モード コマンドを入力して、インターフェイスの設定を
show interfaces
確認します。コマンド出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。[edit] user@host# show interfaces lo0 { unit 0 { family inet { filter { input tftp_access_control; } address 127.0.0.1/32; } } }
デバイスの設定が完了したら、受験者の設定をコミットします。
[edit] user@host# commit