Soporte de filtro de firewall en interfaz de circuito cerrado
Una interfaz de circuito cerrado es una puerta de enlace para todo el tráfico de control que entra en el motor de enrutamiento del enrutador. Si desea supervisar este tráfico de control, debe configurar un filtro de firewall en la interfaz de circuito cerrado (lo0).
Los filtros de firewall de circuito cerrado solo se aplican a los paquetes enviados al motor de enrutamiento para su posterior procesamiento. Se admiten filtros de la familia inet e inet6, y puede aplicar un filtro de firewall en las direcciones de entrada y salida en la interfaz lo0. Sin embargo, solo interface-specific se admiten instancias del filtro de firewall.
Para ver las condiciones estándar de coincidencia de filtros de firewall, consulte Condiciones de coincidencia para tráfico IPv4 (enrutadores serie ACX).
El filtro de firewall de lo0 controla los siguientes paquetes de excepción en dirección de entrada:
Paquetes de excepción TTL
Paquetes de multidifusión con 224.0.0.x como dirección IP de destino
Paquetes de difusión
Paquetes de opciones IP
Aunque las acciones de policía se pueden adjuntar a filtros de circuito cerrado en la dirección de entrada, el comportamiento exacto depende de las configuraciones de cola de RX de CPU. Por ejemplo, la limitación de velocidad en la dirección de entrada (mediante configuración de policia) se produce después de cualquier limitador de velocidad de CPU.
La siguiente es una configuración de ejemplo para conectar un firewall a la interfaz de circuito cerrado:
[edit interfaces]
lo0 {
unit 0 {
family <inet | inet6> {
filter {
input f1;
}
}
}
}
family <inet | inet6>{
filter f1 {
interface-specific; >> Mandatory Field.
term t1 {
from {
protocol ospf;
}
then {
count c1;
discard;
}
}
term t2 {
then {
count c2;
accept;
}
}
}
}