예: TFTP 액세스를 차단하는 필터 구성
요구 사항
이 예를 구성하기 전에 디바이스 초기화를 제외한 특별한 구성은 필요하지 않습니다.
개요
기본적으로 Junos OS는 서비스 거부(DoS) 공격에 대한 취약성을 줄이기 위해 소스 주소가 0.0.0.0이고 대상 주소가 255.255.255.255인 DHCP(Dynamic Host Configuration Protocol) 또는 BOOTP(Bootstrap Protocol) 패킷을 필터링하고 폐기합니다. 이 기본 필터를 유니캐스트 RPF 검사라고 합니다. 그러나 일부 공급업체의 장비는 이러한 패킷을 자동으로 수락합니다.
토폴로지
다른 벤더의 장비와 상호 운용하기 위해 이러한 두 주소를 모두 확인하고 이러한 패킷을 수락하여 기본 RPF-check 필터를 재정의하는 필터를 구성할 수 있습니다. 이 예에서는 TFTP(Trivial File Transfer Protocol) 액세스를 차단하여 TFTP 연결 설정 시도를 기록합니다.
구성
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색에 대한 자세한 내용은 을 참조하십시오 구성 모드에서 CLI 편집기 사용.
이 예를 구성하려면 다음 작업을 수행합니다.
CLI 빠른 구성
이 예를 빠르게 구성하려면, 다음 구성 명령을 텍스트 파일에 복사하고, 줄 바꿈을 제거한 다음, 계층 수준에서 명령을 CLI에 붙여넣습니다 [edit]
.
set firewall family inet filter tftp_access_control term one from protocol udp set firewall family inet filter tftp_access_control term one from port tftp set firewall family inet filter tftp_access_control term one then log set firewall family inet filter tftp_access_control term one then discard set interfaces lo0 unit 0 family inet filter input tftp_access_control set interfaces lo0 unit 0 family inet address 127.0.0.1/32
무상태 방화벽 필터 구성
단계별 절차
TFTP 액세스를 선택적으로 차단하는 무상태 방화벽 필터를 구성하려면:
무상태 방화벽 필터를
tftp_access_control
생성합니다.[edit] user@host# edit firewall family inet filter tftp_access_control
UDP 포트 69에서 수신된 패킷에 일치 항목을 지정합니다.
[edit firewall family inet filter tftp_access_control] user@host# set term one from protocol udp user@host# set term one from port tftp
일치하는 패킷이 패킷 전달 엔진의 버퍼에 기록된 다음 삭제되도록 지정합니다.
[edit firewall family inet filter tftp_access_control] user@host# set term one then log user@host# set term one then discard
루프백 인터페이스에 방화벽 필터 적용
단계별 절차
루프백 인터페이스에 방화벽 필터를 적용하려면 다음을 수행합니다.
[edit] user@host# set interfaces lo0 unit 0 family inet filter input tftp_access_control user@host# set interfaces lo0 unit 0 family inet address 127.0.0.1/32
후보 구성 확인 및 커밋
단계별 절차
후보 구성을 확인한 후 커밋하려면 다음을 수행합니다.
구성 모드 명령을 입력하여 무상태 방화벽 필터의
show firewall
구성을 확인합니다. 명령 출력에 의도한 구성이 표시되지 않으면 이 예제에 제공된 지침을 반복하여 구성을 수정하십시오.[edit] user@host# show firewall family inet { filter tftp_access_control { term one { from { protocol udp; port tftp; } then { log; discard; } } } }
구성 모드 명령을 입력하여
show interfaces
인터페이스 구성을 확인합니다. 명령 출력에 의도한 구성이 표시되지 않으면 이 예제에 제공된 지침을 반복하여 구성을 수정하십시오.[edit] user@host# show interfaces lo0 { unit 0 { family inet { filter { input tftp_access_control; } address 127.0.0.1/32; } } }
디바이스 구성을 완료하면 후보 구성을 커밋합니다.
[edit] user@host# commit