예: 관련 없는 두 기준에서 일치하도록 필터 구성
이 예에서는 표준 무상태 방화벽 필터를 구성하여 관련 없는 두 개의 기준과 일치시키는 방법을 보여줍니다.
요구 사항
이 예를 구성하기 전에 디바이스 초기화를 제외한 특별한 구성은 필요하지 않습니다.
개요
이 예에서는 표준 스테이트리스 방화벽 필터를 사용하여 OSPF 패킷 또는 접두사 10.108/16
의 주소에서 오는 패킷인 IPv4 패킷을 일치시키고 일치하지 않는 모든 패킷에 대해 ICMP 메시지를 보냅니다 administratively-prohibited
.
구성
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색에 대한 자세한 내용은 을 참조하십시오 구성 모드에서 CLI 편집기 사용.
이 예를 구성하려면 다음 작업을 수행합니다.
CLI 빠른 구성
이 예를 빠르게 구성하려면, 다음 구성 명령을 텍스트 파일에 복사하고, 줄 바꿈을 제거한 다음, 계층 수준에서 명령을 CLI에 붙여넣습니다 [edit]
.
set firewall family inet filter ospf_or_131 term protocol_match from protocol ospf set firewall family inet filter ospf_or_131 term address-match from source-address 10.108.0.0/16 set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30 set interfaces ge-0/0/1 unit 0 family inet filter input ospf_or_131
IPv4 방화벽 필터 구성
단계별 절차
IPv4 방화벽 필터 구성하기:
IPv4 방화벽 필터의 구성을 활성화합니다.
[edit] user@host# edit firewall family inet filter ospf_or_131
OSPF 패킷을 수락하는 첫 번째 용어를 구성합니다.
[edit firewall family inet filter ospf_or_131] user@host# set term protocol_match from protocol ospf
조건과 일치하는 패킷은 기본적으로 허용됩니다. 이 용어 뒤에 다른 용어가 오기 때문에 이 조건과 일치하지 않는 패킷은 다음 용어로 평가됩니다.
특정 접두사의 모든 IPv4 주소에서 패킷을 수락하도록 두 번째 용어를 구성합니다.
[edit firewall family inet filter ospf_or_131] user@host# set term address_match from source-address 10.108.0.0/16
이 조건과 일치하는 패킷은 기본적으로 허용됩니다. 이것이 필터의 마지막 용어이기 때문에 이 조건과 일치하지 않는 패킷은 기본적으로 삭제됩니다.
결과
구성 모드 명령을 입력하여 무상태 방화벽 필터의 show firewall
구성을 확인합니다. 명령 출력에 의도한 구성이 표시되지 않으면 이 절차의 지침을 반복하여 구성을 수정하십시오.
[edit] user@host# show firewall family inet { filter ospf_or_131 { term protocol_match { from { protocol ospf; } } term address_match { from { source-address { 10.108.0.0/16; } } } } }
논리적 인터페이스에 IPv4 방화벽 필터 적용
단계별 절차
논리적 인터페이스에 무상태 방화벽 필터를 적용하려면:
논리적 인터페이스의 구성을 활성화합니다.
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
논리적 인터페이스의 IP 주소를 구성합니다.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
논리적 인터페이스에 IPv4 방화벽 필터를 적용합니다.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input ospf_or_131
결과
구성 모드 명령을 입력하여 show interfaces
인터페이스 구성을 확인합니다. 명령 출력에 의도한 구성이 표시되지 않으면 이 절차의 지침을 반복하여 구성을 수정하십시오.
[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { filter { input ospf_or_131; } address 10.1.2.3/30; } } }
디바이스 구성을 마쳤으면 구성 모드에서 commit
을(를) 입력합니다.
검증
구성이 제대로 작동하는지 확인하려면 작동 모드 명령을 show firewall filter ospf_or_131
입력합니다.