예: 신뢰할 수 있는 소스의 트래픽을 허용하도록 상태 비저장 방화벽 필터 구성
이 예는 신뢰할 수 없는 소스에서 발생하는 트래픽으로부터 라우팅 엔진을 보호하는 상태 비저장 방화벽 필터를 생성하는 방법을 보여줍니다.
요구 사항
스테이트리스 방화벽 필터를 구성하기 전에 디바이스 초기화 이외의 특별한 구성은 필요하지 않습니다.
개요
이 예에서는 지정된 신뢰할 수 있는 소스의 SSH 및 BGP 프로토콜 패킷을 제외하고 라우팅 엔진으로 향하는 모든 트래픽을 삭제하는 protect-RE라는 상태 비저장 방화벽 필터를 생성합니다. 이 예에는 다음과 같은 방화벽 필터 용어가 포함되어 있습니다.
ssh-term- 소스 주소가192.168.122.0/24인 TCP 패킷과 SSH를 지정하는 대상 포트를 허용합니다.bgp-term- 소스 주소가10.2.1.0/24인 TCP 패킷과 BGP를 지정하는 대상 포트를 허용합니다.discard-rest-term- 또는bgp-term에 의해ssh-term수락되지 않은 모든 패킷에 대해 방화벽 필터 로그 및 시스템 로깅 레코드를 생성한 다음 모든 패킷을 삭제합니다.
명령을 사용하여 방화벽 필터 내에서 용어를 이동할 수 있습니다 insert . Junos OS CLI 사용자 가이드의 삽입을 참조하십시오.
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣습니다.
set firewall family inet filter protect-RE term ssh-term from source-address 192.168.122.0/24 set firewall family inet filter protect-RE term ssh-term from protocol tcp set firewall family inet filter protect-RE term ssh-term from destination-port ssh set firewall family inet filter protect-RE term ssh-term then accept set firewall family inet filter protect-RE term bgp-term from source-address 10.2.1.0/24 set firewall family inet filter protect-RE term bgp-term from protocol tcp set firewall family inet filter protect-RE term bgp-term from destination-port bgp set firewall family inet filter protect-RE term bgp-term then accept set firewall family inet filter protect-RE term discard-rest-term then log set firewall family inet filter protect-RE term discard-rest-term then syslog set firewall family inet filter protect-RE term discard-rest-term then discard set interfaces lo0 unit 0 family inet filter input protect-RE
단계별 절차
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 Junos OS CLI 사용자 가이드를 참조하십시오구성 모드에서 CLI 편집기 사용.
무상태 방화벽 필터 구성하기:
상태 비저장 방화벽 필터를 생성합니다.
[edit] user@host# edit firewall family inet filter protect-RE
첫 번째 필터 용어를 만듭니다.
[edit firewall family inet filter protect-RE] user@host# edit term ssh-term
용어에 대한 프로토콜, 대상 포트 및 소스 주소 일치 조건을 정의합니다.
[edit firewall family inet filter protect-RE term ssh-term] user@host# set from protocol tcp destination-port ssh source-address 192.168.122.0/24
용어에 대한 작업을 정의합니다.
[edit firewall family inet filter protect-RE term ssh-term] user@host# set then accept
두 번째 필터 용어를 만듭니다.
[edit firewall family inet filter protect-RE] user@host# edit term bgp-term
용어에 대한 프로토콜, 대상 포트 및 소스 주소 일치 조건을 정의합니다.
[edit firewall family inet filter protect-RE term bgp-term] user@host# set from protocol tcp destination-port bgp source-address 10.2.1.0/24
용어에 대한 작업을 정의합니다.
[edit firewall family inet filter protect-RE term bgp-term] user@host# set then accept
세 번째 필터 용어를 만듭니다.
[edit firewall family inet filter protect-RE] user@host# edit term discard-rest-term
용어에 대한 작업을 정의합니다.
[edit firewall family inet filter protect-RE term discard-rest] user@host# set then log syslog discard
라우팅 엔진 인터페이스의 입력 측에 필터를 적용합니다.
[edit] user@host# set interfaces lo0 unit 0 family inet filter input protect-RE
결과
구성 모드에서 명령과 show firewallshow interfaces lo0 명령을 입력하여 구성을 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.
user@host# show firewall
family inet {
filter protect-RE {
term ssh-term {
from {
source-address {
192.168.122.0/24;
}
protocol tcp;
destination-port ssh;
}
then accept;
}
term bgp-term {
from {
source-address {
10.2.1.0/24;
}
protocol tcp;
destination-port bgp;
}
then accept;
}
term discard-rest-term {
then {
log;
syslog;
discard;
}
}
}
}
user@host# show interfaces lo0
unit 0 {
family inet {
filter {
input protect-RE;
}
address 127.0.0.1/32;
}
}
디바이스 구성을 마쳤으면 구성 모드에서 commit을(를) 입력합니다.
[edit] user@host# commit
검증
구성이 제대로 작동하는지 확인하려면 다음의 작업을 수행하십시오:
상태 비저장 방화벽 필터 구성 표시
목적
방화벽 필터의 구성을 확인합니다.
작업
구성 모드에서 명령과 show interfaces lo0 명령을 입력합니다show firewall.
의미
출력이 방화벽 필터의 의도된 구성을 보여주는지 확인합니다. 또한 패킷을 테스트하려는 순서대로 용어가 나열되어 있는지 확인합니다. CLI 명령을 사용하여 방화벽 필터 내에서 용어를 이동할 수 있습니다 insert .
서비스, 프로토콜 및 신뢰할 수 있는 출처의 방화벽 필터 확인
목적
방화벽 필터 용어의 작업이 수행되었는지 확인합니다.
작업
조건과 일치하는 패킷을 디바이스로 보냅니다. 또한 일치하지 않는 패킷에 대해 필터 동작이 not 수행되는지 확인합니다.
ssh host-name일치하는192.168.122.0/24IP 주소의 호스트에서 명령을 사용하여 이 주소 접두사를 가진 호스트의 SSH만 사용하여 디바이스에 로그인할 수 있는지 확인합니다.show route summary명령을 사용하여 디바이스의 라우팅 테이블에 ,Local,BGP또는Static이외의 프로토콜을Direct가진 항목이 포함되어 있지 않은지 확인합니다.
샘플 출력
command-name
% ssh 192.168.249.71 %ssh host user@host's password: --- JUNOS 6.4-20040518.0 (JSERIES) #0: 2004-05-18 09:27:50 UTC user@host>
command-name
user@host> show route summary
Router ID: 192.168.249.71
inet.0: 34 destinations, 34 routes (33 active, 0 holddown, 1 hidden)
Direct: 10 routes, 9 active
Local: 9 routes, 9 active
BGP: 10 routes, 10 active
Static: 5 routes, 5 active
...
의미
다음 정보를 확인합니다:
SSH를 사용하여 디바이스에 성공적으로 로그인할 수 있습니다.
명령이
show route summary,Local,BGP, 또는Static이외의 프로토콜을Direct표시하지 않습니다.
상태 비저장 방화벽 필터 로그 표시
목적
패킷이 기록되고 있는지 확인합니다. 용어에 또는 syslog 작업을 포함 log 시킨 경우, 용어와 일치하는 패킷이 방화벽 로그 또는 시스템 로깅 기능에 기록되는지 확인합니다.
작업
운영 모드에서 show firewall log 명령을 입력합니다.
샘플 출력
command-name
user@host> show firewall log Log : Time Filter Action Interface Protocol Src Addr Dest Addr 15:11:02 pfe D ge-0/0/0.0 TCP 172.17.28.19 192.168.70.71 15:11:01 pfe D ge-0/0/0.0 TCP 172.17.28.19 192.168.70.71 15:11:01 pfe D ge-0/0/0.0 TCP 172.17.28.19 192.168.70.71 15:11:01 pfe D ge-0/0/0.0 TCP 172.17.28.19 192.168.70.71 ...
의미
출력의 각 레코드에는 로깅된 패킷에 대한 정보가 포함됩니다. 다음 정보를 확인합니다:
에는
Time패킷이 필터링된 시간이 표시됩니다.출력은
Filter항상pfe입니다.에서
Action용어의 구성된 작업은 패킷에 대해 수행된 작업(A(수락), (폐기),DR(거부))과 일치합니다.아래에서
Interface패킷이 도착한 인바운드(수신) 인터페이스가 필터에 적합합니다.에서
Protocol패킷의 IP 헤더에 있는 프로토콜이 필터에 적합합니다.에서
Src Addr패킷의 IP 헤더에 있는 소스 주소가 필터에 적합합니다.에서
Dest Addr패킷의 IP 헤더에 있는 대상 주소가 필터에 적합합니다.