Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ejemplo: Configuración de un filtro para bloquear el acceso TCP a un puerto excepto desde pares bgp especificados

En este ejemplo, se muestra cómo configurar un filtro de firewall estándar sin estado que bloquea todos los intentos de conexión TCP de puerto 179 de todos los solicitantes, excepto de los pares bgp especificados.

Requisitos

No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.

Descripción general

En este ejemplo, se crea un filtro de firewall sin estado que bloquea todos los intentos de conexión TCP de puerto 179 de todos los solicitantes, excepto los pares bgp especificados.

El filtro filter_bgp179 de firewall sin estado hace coincidir todos los paquetes desde las interfaces conectadas directamente en los dispositivos A y B hasta el número de puerto de destino 179.

Topología

Figura 1 muestra la topología utilizada en este ejemplo. El dispositivo C intenta hacer una conexión TCP al dispositivo E. El dispositivo E bloquea el intento de conexión. En este ejemplo, se muestra la configuración en el dispositivo E.

Figura 1: Red típica con sesiones par BGPRed típica con sesiones par BGP

Configuración

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue los comandos en la CLI en el [edit] nivel de jerarquía.

Dispositivo C

Dispositivo E

Configuración del dispositivo E

Procedimiento paso a paso

En el ejemplo siguiente, se requiere navegar por varios niveles en la jerarquía de configuración. Para obtener más información sobre cómo navegar por la CLI, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de la CLI de Junos OS.

Para configurar el dispositivo E con un filtro de firewall sin estado que bloquee todos los intentos de conexión TCP de puerto 179 de todos los solicitantes, excepto de los pares bgp especificados:

  1. Configure las interfaces.

  2. Configure BGP.

  3. Configure el número del sistema autónomo.

  4. Defina el término de filtro que acepta intentos de conexión TCP para puerto 179 de los pares bgp especificados.

  5. Defina el otro término de filtro para rechazar paquetes de otras fuentes.

  6. Aplique el filtro de firewall a la interfaz de circuito cerrado.

Resultados

Desde el modo de configuración, confirme la configuración ingresando los show firewallcomandos , show interfaces, show protocolsy show routing-options . Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Confirme que la configuración funciona correctamente.

Comprobación de que el filtro está configurado

Propósito

Asegúrese de que el filtro aparece en la salida del show firewall filter comando.

Acción

Verificar las conexiones TCP

Propósito

Verifique las conexiones TCP.

Acción

Desde el modo operativo, ejecute el comando en los show system connections extensive dispositivos C y E.

El resultado en el dispositivo C muestra el intento de establecer una conexión TCP. La salida del dispositivo E muestra que las conexiones se establecen solo con los dispositivos A y B.

Monitoreo del tráfico en las interfaces

Propósito

Utilice el monitor traffic comando para comparar el tráfico en una interfaz que establece una conexión TCP con el tráfico en una interfaz que no establece una conexión TCP.

Acción

Desde el modo operativo, ejecute el monitor traffic comando en la interfaz del dispositivo E al dispositivo B y en la interfaz del dispositivo E al dispositivo C. El siguiente resultado de ejemplo verifica que en el primer ejemplo, se reciban mensajes de confirmación (ack). En el segundo ejemplo, ack no se reciben mensajes.