예: 스테이트리스 방화벽 필터 용어에 대한 로깅 구성
이 예에서는 패킷 헤더를 기록하도록 표준 무상태 방화벽 필터를 구성하는 방법을 보여줍니다.
요구 사항
이 예를 구성하기 전에 디바이스 초기화를 제외한 특별한 구성은 필요하지 않습니다.
개요
이 예에서는 소스 또는 대상으로 있는 192.168.207.222 ICMP 패킷을 기록하고 계산하는 상태 비저장 방화벽 필터를 사용합니다.
구성
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색에 대한 자세한 내용은 을 참조하십시오 구성 모드에서 CLI 편집기 사용.
이 예를 구성하려면 다음 작업을 수행합니다.
CLI 빠른 구성
이 예를 빠르게 구성하려면, 다음 구성 명령을 텍스트 파일에 복사하고, 줄 바꿈을 제거한 다음, 계층 수준에서 명령을 CLI에 붙여넣습니다 [edit]
.
set system syslog file ICMP_filter firewall info set system syslog file ICMP_filter archive no-world-readable set firewall family inet filter icmp_syslog term icmp_match from address 192.168.207.222/32 set firewall family inet filter icmp_syslog term icmp_match from protocol icmp set firewall family inet filter icmp_syslog term icmp_match then count packets set firewall family inet filter icmp_syslog term icmp_match then syslog set firewall family inet filter icmp_syslog term icmp_match then accept set firewall family inet filter icmp_syslog term default_term then accept set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30 set interfaces ge-0/0/1 unit 0 family inet filter input icmp_syslog
방화벽 기능에 대한 syslog 메시지 파일 구성
단계별 절차
기능에 대한 firewall syslog 메시지 파일을 구성하려면 다음을 수행합니다.
기능에 대해 firewall 생성된 모든 syslog 메시지에 대한 메시지 파일을 구성합니다.
user@host# set system syslog file ICMP_filter firewall info
아카이빙 firewall 된 시설 syslog 파일에 대한 권한을 루트 사용자 및 Junos OS 유지 관리 권한이 있는 사용자로 제한합니다.
user@host# set system syslog file ICMP_filter archive no-world-readable
무상태 방화벽 필터 구성
단계별 절차
소스 또는 대상으로 있는 ICMP 패킷을 192.168.207.222 기록하고 계산하는 상태 비저장 방화벽 필터를 icmp_syslog 구성하려면,
무상태 방화벽 필터를 icmp_syslog생성합니다.
[edit] user@host# edit firewall family inet filter icmp_syslog
ICMP 프로토콜 및 주소에 대한 매칭을 구성합니다.
[edit firewall family inet filter icmp_syslog] user@host# set term icmp_match from address 192.168.207.222/32 user@host# set term icmp_match from protocol icmp
일치하는 패킷을 카운트하고, 기록하고, 수락합니다.
[edit firewall family inet filter icmp_syslog] user@host# set term icmp_match then count packets user@host# set term icmp_match then syslog user@host# set term icmp_match then accept
다른 모든 패킷을 수락합니다.
[edit firewall family inet filter icmp_syslog] user@host# set term default_term then accept
논리적 인터페이스에 무상태 방화벽 필터 적용
단계별 절차
논리적 인터페이스에 무상태 방화벽 필터를 적용하려면:
무상태 방화벽 필터를 적용할 논리적 인터페이스를 구성합니다.
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
논리적 인터페이스의 인터페이스 주소를 구성합니다.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
논리적 인터페이스에 무상태 방화벽 필터를 적용합니다.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input icmp_syslog
후보 구성 확인 및 커밋
단계별 절차
후보 구성을 확인한 후 커밋하려면 다음을 수행합니다.
구성 모드 명령을 입력하여
show system
기능에 대한 firewall syslog 메시지 파일의 구성을 확인합니다. 명령 출력에 의도한 구성이 표시되지 않으면 이 예제에 제공된 지침을 반복하여 구성을 수정하십시오.[edit] user@host# show system syslog { file ICMP_filter { firewall info; archive no-world-readable; } }
구성 모드 명령을 입력하여 무상태 방화벽 필터의
show firewall
구성을 확인합니다. 명령 출력에 의도한 구성이 표시되지 않으면 이 예제에 제공된 지침을 반복하여 구성을 수정하십시오.[edit] user@host# show firewall family inet { filter icmp_syslog { term icmp_match { from { address { 192.168.207.222/32; } protocol icmp; } then { count packets; log; accept; } } term default_term { then accept; } } }
구성 모드 명령을 입력하여
show interfaces
인터페이스 구성을 확인합니다. 명령 출력에 의도한 구성이 표시되지 않으면 이 예제에 제공된 지침을 반복하여 구성을 수정하십시오.[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { filter { input icmp_syslog; } address 10.1.2.3/30; } } }
디바이스 구성을 완료하면 후보 구성을 커밋합니다.
[edit] user@host# commit
검증
구성이 제대로 작동하는지 확인하려면 다음 명령을 입력합니다.show log filter
user@host> show log ICMP_filter Mar 20 08:03:11 hostname feb FW: ge-0/1/0.0 A icmp 192.168.207.222 192.168.207.223 0 0 (1 packets)
이 출력 파일에는 다음 필드가 포함되어 있습니다.
Date and Time- 패킷이 수신된 날짜 및 시간입니다(기본값에는 표시되지 않음).
필터 동작:
A- 수락(또는 다음 기간)
D- 폐기
R- 거부
Protocol- 패킷의 프로토콜 이름 또는 번호입니다.
Source address- 패킷의 소스 IP 주소입니다.
Destination address- 패킷의 대상 IP 주소입니다.
주:프로토콜이 ICMP인 경우 ICMP 유형 및 코드가 표시됩니다. 다른 모든 프로토콜의 경우 소스 및 대상 포트가 표시됩니다.
마지막 두 필드(모두 0)는 각각 소스 및 대상 TCP/UDP 포트이며 TCP 또는 UDP 패킷에 대해서만 표시됩니다. 이 로그 메시지는 약 1초 간격으로 이 일치에 대해 하나의 패킷만 탐지되었음을 나타냅니다. 패킷이 더 빨리 도착하면 시스템 로그 함수는 더 적은 출력이 생성되도록 정보를 압축하고 다음과 유사한 출력을 표시합니다.
user@host> show log filename Mar 20 08:18:45 hostname feb FW: ge-0/1/0.0 A icmp 192.168.207.222 192.168.207.223 0 0 (515 packets)