예: 스테이트리스 방화벽 필터 용어에 대한 로깅 구성
이 예에서는 패킷 헤더를 기록하도록 표준 무상태 방화벽 필터를 구성하는 방법을 보여줍니다.
요구 사항
이 예를 구성하기 전에 디바이스 초기화를 제외한 특별한 구성은 필요하지 않습니다.
개요
이 예에서는 소스 또는 대상으로 있는 ICMP 패킷을 기록하고 계산하는 상태 비저장 방화벽 필터를 사용합니다.192.168.207.222
구성
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색에 대한 자세한 내용은 을 참조하십시오 .구성 모드에서 CLI 편집기 사용
이 예를 구성하려면 다음 작업을 수행합니다.
CLI 빠른 구성
이 예를 빠르게 구성하려면, 다음 구성 명령을 텍스트 파일에 복사하고, 줄 바꿈을 제거한 다음, 계층 수준에서 명령을 CLI에 붙여넣습니다 .[edit]
set system syslog file ICMP_filter firewall info set system syslog file ICMP_filter archive no-world-readable set firewall family inet filter icmp_syslog term icmp_match from address 192.168.207.222/32 set firewall family inet filter icmp_syslog term icmp_match from protocol icmp set firewall family inet filter icmp_syslog term icmp_match then count packets set firewall family inet filter icmp_syslog term icmp_match then syslog set firewall family inet filter icmp_syslog term icmp_match then accept set firewall family inet filter icmp_syslog term default_term then accept set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30 set interfaces ge-0/0/1 unit 0 family inet filter input icmp_syslog
방화벽 기능에 대한 syslog 메시지 파일 구성
단계별 절차
기능에 대한 syslog 메시지 파일을 구성하려면 다음을 수행합니다.firewall
기능에 대해 생성된 모든 syslog 메시지에 대한 메시지 파일을 구성합니다.firewall
user@host# set system syslog file ICMP_filter firewall info
아카이빙 된 시설 syslog 파일에 대한 권한을 루트 사용자 및 Junos OS 유지 관리 권한이 있는 사용자로 제한합니다.firewall
user@host# set system syslog file ICMP_filter archive no-world-readable
무상태 방화벽 필터 구성
단계별 절차
소스 또는 대상으로 있는 ICMP 패킷을 기록하고 계산하는 상태 비저장 방화벽 필터를 구성하려면,icmp_syslog192.168.207.222
무상태 방화벽 필터를 생성합니다.icmp_syslog
[edit] user@host# edit firewall family inet filter icmp_syslog
ICMP 프로토콜 및 주소에 대한 매칭을 구성합니다.
[edit firewall family inet filter icmp_syslog] user@host# set term icmp_match from address 192.168.207.222/32 user@host# set term icmp_match from protocol icmp
일치하는 패킷을 카운트하고, 기록하고, 수락합니다.
[edit firewall family inet filter icmp_syslog] user@host# set term icmp_match then count packets user@host# set term icmp_match then syslog user@host# set term icmp_match then accept
다른 모든 패킷을 수락합니다.
[edit firewall family inet filter icmp_syslog] user@host# set term default_term then accept
논리적 인터페이스에 무상태 방화벽 필터 적용
단계별 절차
논리적 인터페이스에 무상태 방화벽 필터를 적용하려면:
무상태 방화벽 필터를 적용할 논리적 인터페이스를 구성합니다.
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
논리적 인터페이스의 인터페이스 주소를 구성합니다.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
논리적 인터페이스에 무상태 방화벽 필터를 적용합니다.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input icmp_syslog
후보 구성 확인 및 커밋
단계별 절차
후보 구성을 확인한 후 커밋하려면 다음을 수행합니다.
구성 모드 명령을 입력하여 기능에 대한 syslog 메시지 파일의 구성을 확인합니다.firewall
show system명령 출력에 의도한 구성이 표시되지 않으면 이 예제에 제공된 지침을 반복하여 구성을 수정하십시오.[edit] user@host# show system syslog { file ICMP_filter { firewall info; archive no-world-readable; } }구성 모드 명령을 입력하여 무상태 방화벽 필터의 구성을 확인합니다.
show firewall명령 출력에 의도한 구성이 표시되지 않으면 이 예제에 제공된 지침을 반복하여 구성을 수정하십시오.[edit] user@host# show firewall family inet { filter icmp_syslog { term icmp_match { from { address { 192.168.207.222/32; } protocol icmp; } then { count packets; log; accept; } } term default_term { then accept; } } }구성 모드 명령을 입력하여 인터페이스 구성을 확인합니다.
show interfaces명령 출력에 의도한 구성이 표시되지 않으면 이 예제에 제공된 지침을 반복하여 구성을 수정하십시오.[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { filter { input icmp_syslog; } address 10.1.2.3/30; } } }디바이스 구성을 완료하면 후보 구성을 커밋합니다.
[edit] user@host# commit
검증
구성이 제대로 작동하는지 확인하려면 다음 명령을 입력합니다.show log filter
user@host> show log ICMP_filter Mar 20 08:03:11 hostname feb FW: ge-0/1/0.0 A icmp 192.168.207.222 192.168.207.223 0 0 (1 packets)
이 출력 파일에는 다음 필드가 포함되어 있습니다.
Date and Time- 패킷이 수신된 날짜 및 시간입니다(기본값에는 표시되지 않음).
필터 동작:
A- 수락(또는 다음 기간)
D- 폐기
R- 거부
Protocol- 패킷의 프로토콜 이름 또는 번호입니다.
Source address- 패킷의 소스 IP 주소입니다.
Destination address- 패킷의 대상 IP 주소입니다.
주:프로토콜이 ICMP인 경우 ICMP 유형 및 코드가 표시됩니다. 다른 모든 프로토콜의 경우 소스 및 대상 포트가 표시됩니다.
마지막 두 필드(모두 0)는 각각 소스 및 대상 TCP/UDP 포트이며 TCP 또는 UDP 패킷에 대해서만 표시됩니다. 이 로그 메시지는 약 1초 간격으로 이 일치에 대해 하나의 패킷만 탐지되었음을 나타냅니다. 패킷이 더 빨리 도착하면 시스템 로그 함수는 더 적은 출력이 생성되도록 정보를 압축하고 다음과 유사한 출력을 표시합니다.
user@host> show log filename Mar 20 08:18:45 hostname feb FW: ge-0/1/0.0 A icmp 192.168.207.222 192.168.207.223 0 0 (515 packets)