예: 방화벽 필터 용어에 대한 로깅 구성
이 예에서는 패킷 헤더를 기록하도록 방화벽 필터를 구성하는 방법을 보여줍니다.
요구 사항
이 예를 구성하기 전에 디바이스 초기화를 제외한 특별한 구성은 필요하지 않습니다.
개요
이 예에서는 소스 또는 대상으로 있는 192.168.207.222
ICMP 패킷을 기록하고 계산하는 방화벽 필터를 사용합니다.
구성
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색에 대한 자세한 내용은 을 참조하십시오 구성 모드에서 CLI 편집기 사용.
이 예를 구성하려면 다음 작업을 수행합니다.
CLI 빠른 구성
이 예를 빠르게 구성하려면, 다음 구성 명령을 텍스트 파일에 복사하고, 줄 바꿈을 제거한 다음, 계층 수준에서 명령을 CLI에 붙여넣습니다 [edit]
.
set system syslog file messages_firewall_any firewall any set system syslog file messages_firewall_any archive no-world-readable set firewall family inet filter icmp_syslog term icmp_match from address 192.168.207.222/32 set firewall family inet filter icmp_syslog term icmp_match from protocol icmp set firewall family inet filter icmp_syslog term icmp_match then count packets set firewall family inet filter icmp_syslog term icmp_match then syslog set firewall family inet filter icmp_syslog term icmp_match then accept set firewall family inet filter icmp_syslog term default_term then accept set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30 set interfaces ge-0/0/1 unit 0 family inet filter input icmp_syslog
방화벽 기능에 대한 syslog 메시지 파일 구성
단계별 절차
기능에 대한 firewall
syslog 메시지 파일을 구성하려면 다음을 수행합니다.
기능에 대해
firewall
생성된 모든 syslog 메시지에 대한 메시지 파일을 구성합니다.user@host# set system syslog file messages_firewall_any firewall any
아카이빙
firewall
된 시설 syslog 파일에 대한 권한을 루트 사용자 및 Junos OS 유지 관리 권한이 있는 사용자로 제한합니다.user@host# set system syslog file messages_firewall_any archive no-world-readable
방화벽 필터 구성
단계별 절차
소스 또는 대상으로 있는 ICMP 패킷을 192.168.207.222
기록하고 계산하는 방화벽 필터를 icmp_syslog
구성하려면,
방화벽 필터를
icmp_syslog
만듭니다.[edit] user@host# edit firewall family inet filter icmp_syslog
ICMP 프로토콜 및 주소에 대한 매칭을 구성합니다.
[edit firewall family inet filter icmp_syslog] user@host# set term icmp_match from address 192.168.207.222/32 user@host# set term icmp_match from protocol icmp
일치하는 패킷을 카운트하고, 기록하고, 수락합니다.
[edit firewall family inet filter icmp_syslog] user@host# set term icmp_match then count packets user@host# set term icmp_match then syslog user@host# set term icmp_match then accept
다른 모든 패킷을 수락합니다.
[edit firewall family inet filter icmp_syslog] user@host# set term default_term then accept
논리적 인터페이스에 방화벽 필터 적용
단계별 절차
방화벽 필터를 논리적 인터페이스에 적용하려면 다음을 수행합니다.
방화벽 필터를 적용할 논리적 인터페이스를 구성합니다.
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
논리적 인터페이스의 인터페이스 주소를 구성합니다.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
논리적 인터페이스에 방화벽 필터를 적용합니다.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input icmp_syslog
후보 구성 확인 및 커밋
단계별 절차
후보 구성을 확인한 후 커밋하려면 다음을 수행합니다.
구성 모드 명령을 입력하여
show system
기능에 대한firewall
syslog 메시지 파일의 구성을 확인합니다. 명령 출력에 의도한 구성이 표시되지 않으면 이 예제에 제공된 지침을 반복하여 구성을 수정하십시오.[edit] user@host# show system syslog { file messages_firewall_any { firewall any; archive no-world-readable; } }
구성 모드 명령을 입력하여 방화벽 필터의
show firewall
구성을 확인합니다. 명령 출력에 의도한 구성이 표시되지 않으면 이 예제에 제공된 지침을 반복하여 구성을 수정하십시오.[edit] user@host# show firewall family inet { filter icmp_syslog { term icmp_match { from { address { 192.168.207.222/32; } protocol icmp; } then { count packets; syslog; accept; } } term default_term { then accept; } } }
구성 모드 명령을 입력하여
show interfaces
인터페이스 구성을 확인합니다. 명령 출력에 의도한 구성이 표시되지 않으면 이 예제에 제공된 지침을 반복하여 구성을 수정하십시오.[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { filter { input icmp_syslog; } address 10.1.2.3/30; } } }
디바이스 구성을 완료하면 후보 구성을 커밋합니다.
[edit] user@host# commit
검증
구성이 제대로 작동하는지 확인하려면 다음 명령을 입력합니다.show log filter
user@host> show log messages_firewall_any Mar 20 08:03:11 hostname feb FW: so-0/1/0.0 A icmp 192.168.207.222 192.168.207.223 0 0 (1 packets)
이 출력 파일에는 다음 필드가 포함되어 있습니다.
Date and Time
- 패킷이 수신된 날짜 및 시간입니다(기본값에는 표시되지 않음).필터 동작:
A
- 수락(또는 다음 기간)D
- 폐기R
- 거부
Protocol
- 패킷의 프로토콜 이름 또는 번호입니다.Source address
- 패킷의 소스 IP 주소입니다.Destination address
- 패킷의 대상 IP 주소입니다.주:프로토콜이 ICMP인 경우 ICMP 유형 및 코드가 표시됩니다. 다른 모든 프로토콜의 경우 소스 및 대상 포트가 표시됩니다.
마지막 두 필드(모두 0)는 각각 소스 및 대상 TCP/UDP 포트이며 TCP 또는 UDP 패킷에 대해서만 표시됩니다. 이 로그 메시지는 약 1초 간격으로 이 일치에 대한 하나의 패킷만 탐지되었음을 나타냅니다. 패킷이 더 빨리 도착하면 시스템 로그 함수는 더 적은 출력이 생성되도록 정보를 압축하고 다음과 유사한 출력을 표시합니다.
user@host> show log messages_firewall_any Mar 20 08:08:45 hostname feb FW: so-0/1/0.0 A icmp 192.168.207.222 192.168.207.223 0 0 (515 packets)