EN ESTA PÁGINA
Ejemplo: Configuración de un filtro para limitar el acceso TCP a un puerto basado en una lista de prefijos
En este ejemplo se muestra cómo configurar un filtro de firewall sin estado estándar que limita cierto tráfico TCP y del Protocolo de mensajes de control de Internet (ICMP) destinado al motor de enrutamiento especificando una lista de orígenes de prefijos que contienen pares BGP permitidos.
Requisitos
No se necesita ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.
Descripción general
En este ejemplo, se crea un filtro de firewall sin estado que bloquea todos los intentos de conexión TCP al puerto 179 de todos los solicitantes, excepto los pares BGP que tienen un prefijo especificado.
Topología
Se crea una lista de prefijos de origen, , que especifica la lista de prefijos de origen que contienen pares BGP permitidos.plist_bgp179
El filtro de firewall sin estado hace coincidir todos los paquetes desde la lista de prefijos de origen hasta el número de puerto de destino 179.filter_bgp179plist_bgp179
Configuración
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y pegue los comandos en la CLI en el nivel de jerarquía.[edit]
set policy-options prefix-list plist_bgp179 apply-path "protocols bgp group <*> neighbor <*>" set firewall family inet filter filter_bgp179 term 1 from source-address 0.0.0.0/0 set firewall family inet filter filter_bgp179 term 1 from source-prefix-list plist_bgp179 except set firewall family inet filter filter_bgp179 term 1 from destination-port bgp set firewall family inet filter filter_bgp179 term 1 then reject set firewall family inet filter filter_bgp179 term 2 then accept set interfaces lo0 unit 0 family inet filter input filter_bgp179 set interfaces lo0 unit 0 family inet address 127.0.0.1/32
Configurar el filtro
Procedimiento paso a paso
El ejemplo siguiente requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI de Junos OS.Usar el editor de CLI en el modo de configuraciónhttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html
Para configurar el filtro:
Expanda la lista de prefijos para incluir todos los prefijos señalados por el grupo del mismo nivel BGP definido por .bgp179protocols bgp group <*> neighbor <*>
[edit policy-options prefix-list plist_bgp179] user@host# set apply-path " protocols bgp group <*> neighbor <*>"
Defina el término de filtro que rechaza los intentos de conexión TCP al puerto 179 de todos los solicitantes excepto los pares BGP especificados.
[edit firewall family inet filter filter_bgp179] user@host# set term term1 from source-address 0.0.0.0/0 user@host# set term term1 from source-prefix-list bgp179 except user@host# set term term1 from destination-port bgp user@host# set term term1 then reject
Defina el otro término de filtro para aceptar todos los paquetes.
[edit firewall family inet filter filter_bgp179] user@host# set term term2 then accept
Aplique el filtro de firewall a la interfaz de circuito cerrado.
[edit interfaces lo0 unit 0 family inet] user@host# set filter input filter_bgp179 user@host# set address 127.0.0.1/32
Resultados
Desde el modo de configuración, escriba los comandos , y para confirmar la configuración. show firewallshow interfacesshow policy-options Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
user@host# show firewall
family inet {
filter filter_bgp179 {
term 1 {
from {
source-address {
0.0.0.0/0;
}
source-prefix-list {
plist_bgp179 except;
}
destination-port bgp;
}
then {
reject;
}
}
term 2 {
then {
accept;
}
}
}
}
user@host# show interfaces
lo0 {
unit 0 {
family inet {
filter {
input filter_bgp179;
}
address 127.0.0.1/32;
}
}
}
user@host# show policy-options
prefix-list plist_bgp179 {
apply-path "protocols bgp group <*> neighbor <*>";
}
Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.
Verificación
Confirme que la configuración funcione correctamente.
Visualización del filtro de firewall aplicado a la interfaz de circuito cerrado
Propósito
Compruebe que el filtro de firewall se aplica al tráfico de entrada IPv4 en la interfaz lógica.filter_bgp179lo0.0
Acción
Utilice el comando para la interfaz lógica e incluya la opción.show interfaces statistics operational modelo0.0detail En la sección de la sección de salida de comandos, el campo muestra el nombre del filtro de firewall sin estado aplicado a la interfaz lógica en la dirección de entrada.Protocol inetInput Filters
[edit]
user@host> show interfaces statistics lo0.0 detail
Logical interface lo0.0 (Index 321) (SNMP ifIndex 16) (Generation 130)
Flags: SNMP-Traps Encapsulation: Unspecified
Traffic statistics:
Input bytes : 0
Output bytes : 0
Input packets: 0
Output packets: 0
Local statistics:
Input bytes : 0
Output bytes : 0
Input packets: 0
Output packets: 0
Transit statistics:
Input bytes : 0 0 bps
Output bytes : 0 0 bps
Input packets: 0 0 pps
Output packets: 0 0 pps
Protocol inet, MTU: Unlimited, Generation: 145, Route table: 0
Flags: Sendbcast-pkt-to-re
Input Filters: filter_bgp179
Addresses, Flags: Primary
Destination: Unspecified, Local: 127.0.0.1, Broadcast: Unspecified, Generation: 138