Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

例:TFTP アクセスをブロックするフィルタの設定

要件

この例を設定する前に、デバイス初期化以外の特別な設定は必要ありません。

概要

デフォルトでは、サービス拒否(DoS)攻撃の脆弱性を減少させるために、Junos OS は、送信元アドレスが 0.0.0.0、宛先アドレスが 255.255.255.255 の動的ホスト構成プロトコル(DHCP)またはブートストラップ プロトコル(BOOTP)パケットをフィルタリングして破棄します。このデフォルト フィルタは、ユニキャスト RPF チェックと呼ばれます。ただし、一部のベンダーの機器はこれらのパケットを自動的に受け入れます。

トポロジ

他のベンダーの機器と相互運用するには、これらの両方のアドレスをチェックするフィルタを設定し、これらのパケットを受け入れることによってデフォルトのRPFチェックフィルタを上書きします。この例では、トリビアル ファイル転送プロトコル(TFTP)アクセスをブロックし、TFTP 接続確立の試行をロギングします。

設定

次の例では、設定階層のさまざまなレベルに移動する必要があります。CLI のナビゲーションの詳細については、 を参照してください 設定モードでのCLIエディターの使用

この例を設定するには、次のタスクを実行します。

CLI クイック設定

この例を迅速に設定するには、次の設定コマンドをテキスト ファイルにコピーし、改行を削除してから、コマンドを階層レベルで [edit] CLI に貼り付けます。

ステートレス ファイアウォール フィルタの設定

手順

TFTP アクセスを選択的にブロックするステートレス ファイアウォール フィルタを設定するには、次の手順に基づきます。

  1. ステートレス ファイアウォール フィルターを作成します tftp_access_control

  2. UDP ポート 69 で受信したパケットの一致を指定します。

  3. 一致するパケットをパケット転送エンジン上のバッファーに記録し、破棄することを指定します。

ループバック インターフェイスにファイアウォール フィルタを適用する

手順

ループバック インターフェイスにファイアウォール フィルタを適用するには、次の手順にしたがってください。

受験者の構成を確認してコミットする

手順

受験者の設定を確認してコミットするには、次の手順に応えます。

  1. 設定モード コマンドを入力して、ステートレス ファイアウォール フィルタの設定を show firewall 確認します。コマンド出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。

  2. 設定モード コマンドを入力して、インターフェイスの設定を show interfaces 確認します。コマンド出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。

  3. デバイスの設定が完了したら、受験者の設定をコミットします。

検証

設定が正しく動作していることを確認します。

ログに記録されたパケットと破棄されたパケットの検証

目的

ファイアウォール フィルター条件のアクションが実行されていることを確認します。

対処

適用先

  1. ルーターまたはスイッチのファイアウォール ログをクリアします。

  2. 別のホストから、このルーターまたはスイッチの UDP ポート69 にパケットを送信します。