예를 들면 다음과 같습니다. IPv6 TCP 플래그를 기반으로 패킷 허용 필터 구성
이 예에서는 신뢰할 수 있는 소스의 패킷을 수용하도록 표준 스테이트리스 방화벽 필터를 구성하는 방법을 보여줍니다.
요구 사항
이 예제를 구성하기 전에 디바이스 초기화 이외에는 특별한 구성이 필요하지 않습니다.
개요
이 예에서는 특정 IPv6 TCP 플래그가 있는 패킷을 허용하는 필터를 만듭니다.
구성
다음 예제에서는 구성 계층에서 다양한 레벨을 탐색해야 합니다. CLI 탐색에 대한 자세한 내용은 를 참조하십시오 구성 모드에서 CLI 편집기 사용.
CLI 빠른 구성
이 예제를 신속하게 구성하려면 다음 명령을 텍스트 파일에 복사하여 줄 바꿈을 제거한 다음 계층 수준에서 CLI [edit]
에 명령을 붙여넣습니다.
set firewall family inet6 filter tcp_filter term 1 from next-header tcp set firewall family inet6 filter tcp_filter term 1 from tcp-flags syn set firewall family inet6 filter tcp_filter term 1 then count tcp_syn_pkt set firewall family inet6 filter tcp_filter term 1 then log set firewall family inet6 filter tcp_filter term 1 then accept set interfaces lo0 unit 0 family inet6 filter input tcp_filter set interfaces lo0 unit 0 family inet6 address ::10.34.1.0/120
스테이트리스 방화벽 필터 구성
단계별 절차
방화벽 필터를 구성하려면
IPv6 스테이트리스 방화벽 필터 tcp_filter를 만듭니다.
[edit] user@host# edit firewall family inet6 filter tcp_filter
패킷이 TCP 세션의 초기 패킷인 경우, IPv6 헤더가 TCP를 입력한 후 다음 헤더와 일치한다는 것을 지정합니다.
[edit firewall family inet6 filter tcp_filter] user@host# set term 1 from next-header tcp user@host# set term 1 from tcp-flags syn
일치하는 패킷이 계산되고 패킷 포워딩 엔진의 버퍼에 로깅되어 수락됨을 지정합니다.
[edit firewall family inet6 filter tcp_filter] user@host# set term 1 then count tcp_syn_pkt user@host# set term 1 then log user@host# set term 1 then accept
방화벽 필터를 루프백 인터페이스에 적용
단계별 절차
방화벽 필터를 루프백 인터페이스에 적용하려면 다음을 수행합니다.
[edit] user@host# set interfaces lo0 unit 0 family inet6 filter input tcp_filter user@host# set interfaces lo0 unit 0 family inet6 address ::10.34.1.0/120
지원자 구성 확인 및 커밋
단계별 절차
지원자 구성을 확인하고 커밋하려면 다음을 수행합니다.
구성 모드 명령을 입력하여 스테이트리스 방화벽 필터의 구성을
show firewall
확인합니다. 명령 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 지침을 반복하여 구성을 수정합니다.[edit] user@host# show firewall family inet6 { filter tcp_filter { term 1 { from { next-header tcp; tcp-flags syn; } then { count tcp_syn_pkt; log; accept; } } } }
구성 모드 명령을 입력하여 인터페이스의 구성을
show interfaces
확인합니다. 명령 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 지침을 반복하여 구성을 수정합니다.[edit] user@host# show interfaces lo0 { unit 0 { family inet6 { filter { input tcp_filter; } address ::10.34.1.0/120; } } }
디바이스 구성을 완료하면 지원자 구성을 커밋합니다.
[edit] user@host# commit
확인
구성이 올바르게 작동하는지 확인하려면 운영 모드 명령을 입력 show firewall 합니다.