Aplicación de filtros y servicios a interfaces
Cuando haya definido y agrupado las reglas de servicio configurando la definición de conjunto de servicios, puede aplicar servicios a una o más interfaces en el enrutador. Para asociar un conjunto de servicios definido a una interfaz, incluya la instrucción con la service-set
input
instrucción o output
en el nivel jerárquico [edit interfaces interface-name unit logical-unit-number family inet service]
:
[edit interfaces interface-name unit logical-unit-number family inet service] input { service-set service-set-name <service-filter filter-name>; post-service-filter filter-name; } output { service-set service-set-name <service-filter filter-name>; }
Cuando se habilitan servicios en una interfaz, no se admite el reenvío de ruta inversa. No puede configurar servicios en la interfaz de administración () ni en la interfaz de circuito cerrado (fxp0
lo0
).
Puede configurar diferentes conjuntos de servicios en los lados de entrada y salida de la interfaz. Sin embargo, para los conjuntos de servicios con reglas de servicio bidireccionales, debe incluir la misma definición de conjunto de servicios en las input
instrucciones youtput
. Cualquier conjunto de servicios que incluya en la instrucción debe configurarse con la interface-service
instrucción en el nivel jerárquico[edit services service-set service-set-name]
; para obtener más información, vea Configurar conjuntos deservice
servicios para aplicarlos a interfaces de servicios.
Si configura una interfaz con un filtro de firewall de entrada que incluye una acción de rechazo y con un conjunto de servicios que incluye reglas de firewall con estado, el enrutador ejecuta el filtro de firewall de entrada antes de que se ejecuten las reglas de firewall con estado en el paquete. Como resultado, cuando el motor de reenvío de paquetes envía un mensaje de error del Protocolo de mensajes de control de Internet (ICMP) a través de la interfaz, las reglas de firewall con estado podrían descartar el paquete porque no se vio en la dirección de entrada.
Las posibles soluciones son incluir un filtro de tabla de reenvío para realizar la acción de rechazo, ya que este tipo de filtro se ejecuta después del firewall de estado en la dirección de entrada, o incluir un filtro de servicio de salida para evitar que los paquetes ICMP generados localmente vayan al servicio de firewall con estado.
Configuración de filtros de servicio
Opcionalmente, puede incluir filtros asociados con cada conjunto de servicios para refinar el destino y, además, procesar el tráfico. Si incluye la instrucción sin una service-filter
definición, el software del enrutador asume que la service-set
condición de coincidencia es verdadera y selecciona el conjunto de servicios para su procesamiento automáticamente.
Para configurar filtros de servicio, incluya la instrucción en el nivel de firewall
[edit]
jerarquía:
firewall { family inet { service-filter filter-name { term term-name { from { match-conditions; } then { action; action-modifiers; } } } } }
Debe especificar inet
como familia de direcciones para configurar un filtro de servicio.
Los filtros de servicio se configuran de manera similar a los filtros de firewall. Los filtros de servicio tienen las mismas condiciones de coincidencia que los filtros de firewall, pero las siguientes acciones específicas:
count
: agregue el paquete a un total de contador.log
: registre el paquete.port-mirror
: espejo del puerto del paquete.sample
—Muestree el paquete.service
: reenvíe el paquete para el procesamiento del servicio.skip
: omitir el paquete del procesamiento del servicio.
Para obtener más información acerca de cómo configurar filtros de firewall, consulte la Guía del usuario de directivas de enrutamiento, filtros de firewall y aplicadores de políticas de tráfico.
También puede incluir más de una definición de conjunto de servicios a cada lado de la interfaz. Si incluye varios conjuntos de servicios, el software del enrutador los evalúa en el orden especificado en la configuración. Ejecuta el primer conjunto de servicios para el que encuentra una coincidencia en el filtro de servicio e ignora las definiciones posteriores.
Una instrucción adicional permite especificar un filtro para procesar el tráfico después de ejecutar el conjunto de servicios de entrada. Para configurar este tipo de filtro, incluya la post-service-filter
instrucción en el [edit interfaces interface-name unit logical-unit-number family inet service input]
nivel de jerarquía:
post-service-filter filter-name;
El software realiza el filtrado posterior al servicio solo cuando ha seleccionado y ejecutado un conjunto de servicios. Si el tráfico no cumple los criterios de coincidencia para alguno de los conjuntos de servicios configurados, se omite el filtro posterior al servicio. La post-service-filter
instrucción no se admite cuando la interfaz de servicio está en un MS-MIC o MS-MPC.
Para obtener un ejemplo de cómo aplicar un conjunto de servicios a una interfaz, consulte Ejemplos: configuración de interfaces de servicios.
Para obtener más información sobre cómo aplicar filtros a interfaces, consulte la Biblioteca de interfaces de red de Junos OS para dispositivos de enrutamiento. Para obtener información general sobre los filtros, consulte la Guía del usuario de directivas de enrutamiento, filtros de firewall y políticas de tráfico.
Después de aplicar el procesamiento NAT a los paquetes, no están sujetos a filtros de servicio de salida. Los filtros de servicio solo afectan al tráfico no traducido.