Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

例:フラグメントを処理するためのステートレス ファイアウォール フィルターの設定

この例では、パケットフラグメントを処理するステートレスファイアウォールフィルターを作成する方法を示しています。

要件

ステートレス ファイアウォール フィルターを構成する前に、デバイス初期化以外の特別な構成を行う必要はありません。

概要

この例では、10.2.1.0/24から発信され、BGPポート宛てのフラグメントパケットを受け入れる fragment-RE と呼ばれるステートレスファイアウォールフィルターを作成します。この例には、次のファイアウォール フィルター条件が含まれています。

  • not-from-prefix-term-–ファイアウォール フィルターの後続の条件が 10.2.1.0/24 からのパケットとのみ照合されるように、10.2.1.0/24 以外のパケットを破棄します。

  • small-offset-term- 小さい(1–5)オフセットパケットを破棄して、ファイアウォールフィルターの後続の条件がパケット内のすべてのヘッダーと一致できるようにします。さらに、この用語は、ファイアウォール設備のシステム ロギング宛先にレコードを追加します。

  • not-fragmented-term- BGP プロトコルを指定する宛先ポートを持つフラグメント化されていない TCP パケットを受け入れます。MF フラグが設定されておらず、フラグメント オフセットが 0 の場合、パケットはフラグメント化されていないと見なされます。

  • first-fragment-term- BGP プロトコルを指定する宛先ポートを持つフラグメント化された TCP パケットの最初のフラグメントを受け入れます。

  • fragment-term- small-offset-termによって破棄されなかったすべてのフラグメントを受け入れます。(パケットフラグメント 6–8191)。ただし、 first-fragment-term が受け入れた最初のフラグメントを含むパケットの一部であるフラグメントのみが、宛先デバイスによって再構築されます。

パケットフラグメントのオフセットは、1〜8191です。

注:

ファイアウォールフィルター内で用語を移動するには、 insert コマンドを使用します。詳しくは、『Junos OS CLIユーザーガイド』の「挿入」を参照してください。

トポロジー

設定

CLIクイック構成

この例をすばやく設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク構成に合わせて必要な詳細を変更し、[edit]階層レベルのCLIにコマンドをコピー&ペーストしてください。

手順

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。手順については、 Junos OS CLIユーザーガイド設定モードでのCLIエディターの使用を参照してください。

ステートレス ファイアウォール フィルターを構成するには:

  1. ステートレス ファイアウォール フィルターを定義します。

  2. フィルターの最初の条件を設定します。

  3. フィルターの 2 番目の項を定義します。

  4. 項の一致条件を定義します。

  5. 用語のアクションを定義します。

  6. フィルターの 3 番目の項を定義します。

  7. 項の一致条件を定義します。

  8. 用語のアクションを定義します。

  9. フィルターの 4 番目の項を定義します。

  10. 項の一致条件を定義します。

  11. 用語のアクションを定義します。

  12. フィルターの最後の項を定義します。

  13. 項の一致条件を定義します。

  14. 用語のアクションを定義します。

結果

設定モードから show firewall コマンドを入力し、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認するには、次のタスクを実行します。

ステートレス ファイアウォール フィルター構成の表示

目的

ファイアウォールフィルターの設定を確認します。設定全体を表示することで、フィルター項目のフローを分析できます。

アクション

設定モードからshow firewallコマンドを入力します。

意味

出力がファイアウォールフィルターの意図した設定を示していることを確認します。さらに、パケットをテストする順序で条件がリストされていることを確認します。ファイアウォールフィルター内で用語を移動するには、 insert CLI コマンドを使用します。

フラグメントを処理するファイアウォールフィルターの検証

目的

ファイアウォールフィルター条件のアクションが実行されていることを確認します。

アクション

条件に一致するパケットをデバイスに送信します。

意味

フラグメント オフセットが小さい 10.2.1.0/24 からのパケットが、ファイアウォール設備向けのデバイスのシステム ロギング宛先に記録されていることを確認します。