EN ESTA PÁGINA
Ejemplo: Configurar un filtro para limitar el acceso TCP a un puerto basado en una lista de prefijos
En este ejemplo, se muestra cómo configurar un filtro de firewall estándar sin estado que limita cierto tráfico TCP y protocolo de mensaje de control de Internet (ICMP) destinado al motor de enrutamiento mediante la especificación de una lista de orígenes de prefijo que contienen pares de BGP permitidos.
Requisitos
No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.
Descripción general
En este ejemplo, se crea un filtro de firewall sin estado que bloquea todos los intentos de conexión TCP al puerto 179 de todos los solicitantes, excepto los pares de BGP que tienen un prefijo especificado.
Topología
Se crea una lista de prefijos de origen, plist_bgp179, que especifica la lista de prefijos de origen que contienen pares de BGP permitidos.
El filtro filter_bgp179 de firewall sin estado coincide con todos los paquetes de la lista plist_bgp179 de prefijos de origen con el puerto de destino número 179.
Configuración
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue los comandos en la CLI en el [edit] nivel de jerarquía.
set policy-options prefix-list plist_bgp179 apply-path "protocols bgp group <*> neighbor <*>" set firewall family inet filter filter_bgp179 term 1 from source-address 0.0.0.0/0 set firewall family inet filter filter_bgp179 term 1 from source-prefix-list plist_bgp179 except set firewall family inet filter filter_bgp179 term 1 from destination-port bgp set firewall family inet filter filter_bgp179 term 1 then reject set firewall family inet filter filter_bgp179 term 2 then accept set interfaces lo0 unit 0 family inet filter input filter_bgp179 set interfaces lo0 unit 0 family inet address 127.0.0.1/32
Configurar el filtro
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener más información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de la CLI de Junos OS.
Para configurar el filtro:
Expanda la lista bgp179 de prefijos para incluir todos los prefijos apuntados por el grupo par del BGP definido por protocols bgp group <*> neighbor <*>.
[edit policy-options prefix-list plist_bgp179] user@host# set apply-path " protocols bgp group <*> neighbor <*>"
Defina el término de filtro que rechaza los intentos de conexión TCP al puerto 179 de todos los solicitantes, excepto los pares de BGP especificados.
[edit firewall family inet filter filter_bgp179] user@host# set term term1 from source-address 0.0.0.0/0 user@host# set term term1 from source-prefix-list bgp179 except user@host# set term term1 from destination-port bgp user@host# set term term1 then reject
Defina el otro término de filtro para aceptar todos los paquetes.
[edit firewall family inet filter filter_bgp179] user@host# set term term2 then accept
Aplique el filtro de firewall a la interfaz de circuito cerrado.
[edit interfaces lo0 unit 0 family inet] user@host# set filter input filter_bgp179 user@host# set address 127.0.0.1/32
Resultados
Desde el modo de configuración, ingrese los comandos , show interfacesy show policy-options para confirmar la show firewallconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
user@host# show firewall
family inet {
filter filter_bgp179 {
term 1 {
from {
source-address {
0.0.0.0/0;
}
source-prefix-list {
plist_bgp179 except;
}
destination-port bgp;
}
then {
reject;
}
}
term 2 {
then {
accept;
}
}
}
}
user@host# show interfaces
lo0 {
unit 0 {
family inet {
filter {
input filter_bgp179;
}
address 127.0.0.1/32;
}
}
}
user@host# show policy-options
prefix-list plist_bgp179 {
apply-path "protocols bgp group <*> neighbor <*>";
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Confirme que la configuración funciona correctamente.
Visualización del filtro de firewall aplicado a la interfaz de circuito cerrado
Propósito
Compruebe que el filtro filter_bgp179 de firewall se aplica al tráfico de entrada IPv4 en la interfaz lo0.0lógica.
Acción
Utilice el comando para la show interfaces statistics operational mode interfaz lo0.0lógica e incluya la detail opción. En la Protocol inet sección de la sección salida de comandos, el Input Filters campo muestra el nombre del filtro de firewall sin estado aplicado a la interfaz lógica en la dirección de entrada.
[edit]
user@host> show interfaces statistics lo0.0 detail
Logical interface lo0.0 (Index 321) (SNMP ifIndex 16) (Generation 130)
Flags: SNMP-Traps Encapsulation: Unspecified
Traffic statistics:
Input bytes : 0
Output bytes : 0
Input packets: 0
Output packets: 0
Local statistics:
Input bytes : 0
Output bytes : 0
Input packets: 0
Output packets: 0
Transit statistics:
Input bytes : 0 0 bps
Output bytes : 0 0 bps
Input packets: 0 0 pps
Output packets: 0 0 pps
Protocol inet, MTU: Unlimited, Generation: 145, Route table: 0
Flags: Sendbcast-pkt-to-re
Input Filters: filter_bgp179
Addresses, Flags: Primary
Destination: Unspecified, Local: 127.0.0.1, Broadcast: Unspecified, Generation: 138