Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

例:フィルタを設定して TFTP アクセスをブロックする

要件

この例を設定する前に、デバイス初期化以外に特別な設定を行う必要はありません。

概要

デフォルトでは、サービス拒否 (DoS) 攻撃に対する脆弱性を減らすために、Junos OS はフィルター処理を行い、発信元アドレス0.0.0.0 および宛先アドレスが指定されている DHCP またはブートストラッププロトコル (BOOTP) パケットを破棄します。255.255.255.255. このデフォルトフィルターはユニキャスト RPF のチェックとして知られています。ただし、一部のベンダーの機器は、これらのパケットを自動的に受け入れる場合があります。

Topology

他のベンダーの機器との相互運用を可能にするには、これらのアドレスの両方をチェックするフィルターを設定し、これらのパケットを受け付けることで、デフォルトの RPF フィルターを上書きします。この例では、簡易ファイル転送プロトコル (TFTP) アクセスをブロックし、TFTP 接続を確立する試みをすべてログに記録します。

構成

次の例では、構成階層のさまざまなレベルを移動する必要があります。詳細については、 を参照してください。詳細CLI、 設定モードでの CLI エディターの使用 を参照してください。

この例を構成するには、以下のタスクを実行します。

CLI クイック構成

この例を簡単に構成するには、以下の構成コマンドをテキストファイルにコピーし、改行を削除してから、コマンドを[edit]階層レベルで CLI に貼り付けます。

ステートレスファイアウォールフィルターを構成します。

順を追った手順

TFTP アクセスを選択的にブロックするステートレスファイアウォールフィルターを構成するには、次のようにします。

  1. ステートレスファイアウォールフィルター tftp_access_controlを作成します。

  2. UDP ポート 69 で受信したパケットで一致を指定します。

  3. 一致したパケットをパケット転送エンジン上のバッファーに記録してから破棄することを指定します。

ループバックインターフェイスにファイアウォールフィルターを適用します。

順を追った手順

ループバックインターフェイスにファイアウォールフィルターを適用するには、次のようにします。

受験者の構成を確認して確定します。

順を追った手順

候補の設定を確認してからコミットするには、以下のようにします。

  1. show firewall構成モードのコマンドを入力して、ステートレスファイアウォールフィルターの構成を確認します。コマンドの出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

  2. show interfaces設定モードのコマンドを入力して、インターフェイスの設定を確認します。コマンドの出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

  3. デバイスの設定が完了したら、受験者の設定を確定します。

検証

構成が適切に動作していることを確認します。

ログに記録され、破棄されたパケットを検証する

目的

ファイアウォールフィルタ条件のアクションが実行されていることを確認します。

アクション

宛先

  1. ルーターまたはスイッチのファイアウォールログをクリアします。

  2. 別のホストから、このルーターまたはスイッチ上の UDP 69 ポートにパケットを送信します。

関連項目