Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

例:ステートレスファイアウォールフィルターを構成して、信頼できるソースからのトラフィックを受信します。

この例では、信頼されていないソースから発生したトラフィックからルーティングエンジンを保護するステートレスファイアウォールフィルターを作成する方法について説明します。

要件

ステートレスファイアウォールフィルターを設定する前に、デバイス初期化以外に特別な設定は不要です。

概要

この例では、SSH 以外のルーティングエンジン宛てのすべてのトラフィック、および指定された信頼できる送信元からの BGP プロトコルのパケットを破棄する、保護者と呼ばれるステートレスファイアウォールフィルターを作成します。この例には、次のファイアウォールフィルタ条件が含まれています。

  • ssh-term—SSH を指定する送信元アドレスおよび宛先ポート 192.168.122.0/24 を持つ TCP パケットを受信します。

  • bgp-term—送信元アドレスおよび宛先ポートでパケットの送信元を 10.2.1.0/24 指定する TCP BGP。

  • discard-rest-term:またはによって受け入れされないパケットすべてについて、ファイアウォール フィルター ログとシステム ロギング レコードを作成してから、 ssh-termbgp-term すべてのパケットを破棄します。

注:

このinsertコマンドを使用して、ファイアウォールフィルタ内で条件を移動することができます。詳細 については、「 Junos OS CLIユーザー ガイド 」を参照してください

構成

手順

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更してから、コマンド[edit]を階層レベルで CLI にコピー & ペーストします。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、「 ソフトウェア ユーザー ガイド 設定モードでの CLI エディターの使用」Junos OS CLIを参照してください

ステートレスファイアウォールフィルターを構成するには、次のようにします。

  1. ステートレスファイアウォールフィルターを作成します。

  2. 最初のフィルター条件を作成します。

  3. この用語のプロトコル、宛先ポート、送信元アドレスの一致条件を定義します。

  4. この用語のアクションを定義します。

  5. 2つ目のフィルター条件を作成します。

  6. この用語のプロトコル、宛先ポート、送信元アドレスの一致条件を定義します。

  7. この用語に対するアクションを定義します。

  8. 3つ目のフィルタ条件を作成します。

  9. この用語に対するアクションを定義します。

  10. ルーティングエンジンインターフェイスの入力側にフィルターを適用します。

結果

show firewallコマンドと設定モードからshow interfaces lo0コマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定commitモードから入力します。

検証

構成が正常に機能していることを確認するには、以下のタスクを実行します。

ステートレスファイアウォールフィルタ構成の表示

目的

ファイアウォールフィルターの構成を確認します。

アクション

設定モードから、 show firewallコマンドとshow interfaces lo0コマンドを入力します。

この出力にファイアウォールフィルターの目的の構成が表示されていることを確認します。さらに、パケットをテストする順序に記載されていることを確認します。insert CLI コマンドを使用して、ファイアウォールフィルタ内で条件を移動することができます。

サービス、プロトコル、信頼できるソースファイアウォールフィルターの検証

目的

ファイアウォールフィルタ条件のアクションが実行されていることを確認します。

アクション

条件に一致するパケットをデバイスに送信します。さらに、一致しないパケット に対して フィルタ アクションが実行されないことを検証します。

  • 該当ssh host-nameする192.168.122.0/24 IP アドレスのホストからコマンドを使用して、このアドレスプレフィックスを持つホストから SSH のみを使用してデバイスにログインできることを確認します。

  • show route summaryこのコマンドDirectを使用して、デバイス上のルーティングテーブルに、 LocalBGP、、またはStatic以外のプロトコルを持つエントリーが含まれていないことを確認します。

サンプル出力
command-name
command-name

以下の情報を確認します。

  • SSH を使用して、デバイスに正常にログインできます。

  • このshow route summaryコマンドでは、、、またはDirectStatic以外LocalBGPのプロトコルは表示されません。

ステートレスファイアウォールフィルタログの表示

目的

パケットがログに記録されていることを確認します。log Or syslogアクションが含まれている場合は、条件に一致するパケットがファイアウォールログまたはシステムのロギング機能に記録されていることを確認してください。

アクション

動作モードから、 show firewall logコマンドを入力します。

サンプル出力
command-name

出力の各記録には、ログに記録されたパケットに関する情報があります。以下の情報を確認します。

  • Time下には、パケットがフィルタリングされた時刻が表示されています。

  • このFilter出力は常pfeにあります。

  • の下で、この条件の設定済みアクションは、パケット — (受信)、 (破棄)、 (拒否) で実行 ActionAD されたアクション R と一致します。

  • Interfaceこのフィルターには、パケットが到着した着信 (受信) インターフェイスが適しています。

  • Protocolでは、パケットの IP ヘッダーのプロトコルがフィルターに適しています。

  • Src Addrでは、パケットの IP ヘッダーの送信元アドレスがフィルターに適しています。

  • Dest Addrでは、パケットの IP ヘッダー内の宛先アドレスがフィルターに適しています。