예: 수락 및 거부된 패킷을 계산하도록 필터 구성
이 예에서는 패킷을 계산하도록 방화벽 필터를 구성하는 방법을 보여줍니다.
요구 사항
이 예를 구성하기 전에 디바이스 초기화를 제외한 특별한 구성은 필요하지 않습니다.
개요
이 예에서는 상태 비저장 방화벽 필터를 사용하여 192.168.5.0/24를 제외한 모든 주소를 거부합니다.
토폴로지
첫 번째 용어에서 일치 조건 address 192.168.5.0/24 except
으로 인해 이 주소는 불일치로 간주되며 이 주소는 필터의 다음 용어로 전달됩니다. 일치 조건은 address 0.0.0.0/0
다른 모든 패킷과 일치하며, 이러한 패킷은 계산, 기록 및 거부됩니다.
두 번째 용어에서는 첫 번째 용어를 통과한 모든 패킷(즉, 주소가 일치하는 192.168.5.0/24
패킷)이 계산되고 기록되며 수락됩니다.
구성
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색에 대한 자세한 내용은 을 참조하십시오 구성 모드에서 CLI 편집기 사용.
이 예를 구성하려면 다음 작업을 수행합니다.
CLI 빠른 구성
이 예를 빠르게 구성하려면, 다음 구성 명령을 텍스트 파일에 복사하고, 줄 바꿈을 제거한 다음, 계층 수준에서 명령을 CLI에 붙여넣습니다 [edit]
.
set firewall family inet filter fire1 term 1 from address 192.168.5.0/24 except set firewall family inet filter fire1 term 1 from address 0.0.0.0/0 set firewall family inet filter fire1 term 1 then count reject_pref1_1 set firewall family inet filter fire1 term 1 then log set firewall family inet filter fire1 term 1 then reject set firewall family inet filter fire1 term 2 then count reject_pref1_2 set firewall family inet filter fire1 term 2 then log set firewall family inet filter fire1 term 2 then accept set interfaces ge-0/0/1 unit 0 family inet filter input fire1 set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30
무상태 방화벽 필터 구성
단계별 절차
무상태 방화벽 필터 fire1
구성 방법:
무상태 방화벽 필터를
fire1
생성합니다.[edit] user@host# edit firewall family inet filter fire1
접두사로 들어오거나 접두사에서 나오는
192.168.5.0/24
주소를 제외한 모든 주소를 거부한 다음 다른 모든 패킷을 카운트, 로그 및 거부하도록 첫 번째 용어를 구성합니다.[edit firewall family inet filter fire1] user@host# set term 1 from address 192.168.5.0/24 except user@host# set term 1 from address 0.0.0.0/0 user@host# set term 1 then count reject_pref1_1 user@host# set term 1 then log user@host# set term 1 then reject
접두사에서 패킷을 계산, 기록 및 수락하도록 다음 용어를
192.168.5.0/24
구성합니다.[edit firewall family inet filter fire1] user@host# set term 2 then count reject_pref1_2 user@host# set term 2 then log user@host# set term 2 then accept
논리적 인터페이스에 무상태 방화벽 필터 적용
단계별 절차
논리적 인터페이스에 무상태 방화벽 필터를 적용하려면:
무상태 방화벽 필터를 적용할 논리적 인터페이스를 구성합니다.
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
논리적 인터페이스의 인터페이스 주소를 구성합니다.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
논리적 인터페이스에 무상태 방화벽 필터를 적용합니다.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input fire1
후보 구성 확인 및 커밋
단계별 절차
후보 구성을 확인한 후 커밋하려면 다음을 수행합니다.
구성 모드 명령을 입력하여 무상태 방화벽 필터의
show firewall
구성을 확인합니다. 명령 출력에 의도한 구성이 표시되지 않으면 이 예제에 제공된 지침을 반복하여 구성을 수정하십시오.[edit] user@host# show firewall family inet { filter fire1 { term 1 { from { address { 192.168.5.0/24 except; 0.0.0.0/0; } } then { count reject_pref1_1; log; reject; } } term 2 { then { count reject_pref1_2; log; accept; } } } }
구성 모드 명령을 입력하여
show interfaces
인터페이스 구성을 확인합니다. 명령 출력에 의도한 구성이 표시되지 않으면 이 예제에 제공된 지침을 반복하여 구성을 수정하십시오.[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { filter { input fire1; } address 10.1.2.3/30; } } }
디바이스 구성을 완료하면 후보 구성을 커밋합니다.
[edit] user@host# commit
검증
구성이 제대로 작동하는지 확인하려면 작동 모드 명령을 show firewall filter fire1
입력합니다. 다음 형식의 명령을 사용하여 로그 카운터와 개별 카운터를 별도로 표시할 수도 있습니다.
show firewall counter reject_pref1_1
show firewall counter reject_pref1_2