Ejemplo: Configuración de un filtro de firewall en una interfaz de administración en un conmutador de la serie EX
Puede configurar un filtro de firewall en una interfaz de administración en un conmutador de la serie EX para filtrar el tráfico de entrada o salida en la interfaz de administración del conmutador. Puede usar utilidades como SSH o Telnet para conectarse a la interfaz de administración a través de la red y, luego, usar protocolos de administración, como SNMP, para recopilar datos estadísticos del conmutador.
En este ejemplo, se explica cómo configurar un filtro de firewall en una interfaz de administración para filtrar paquetes SSH que salida de un conmutador de la serie EX:
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Un conmutador de la serie EX y una PC de administración
Junos OS versión 10.4 o posterior para conmutadores serie EX
Descripción general y topología
Topología
En este ejemplo, una PC de administración establece una conexión SSH con la interfaz de administración en un conmutador para administrar el conmutador de forma remota. La dirección IP configurada para la interfaz de administración es 10.204.33.103/20. Un filtro de firewall está configurado en la interfaz de administración para contar la cantidad de paquetes que salida de un puerto SSH de origen en la interfaz de administración. Cuando el PC de administración establece la sesión SSH con la interfaz de administración, la interfaz de administración devuelve los paquetes SSH a la PC de administración para confirmar que la sesión está establecida. Estos paquetes SSH se filtran según la condición de coincidencia especificada en el filtro de firewall antes de reenviarse a la PC de administración. A medida que estos paquetes se generan desde el puerto SSH de origen en la interfaz de administración, cumplen la condición de coincidencia especificada para la interfaz de administración. La cantidad de paquetes SSH coincidentes proporciona una cuenta de la cantidad de paquetes que han atravesado la interfaz de administración. Un administrador del sistema puede usar esta información para supervisar el tráfico de administración y tomar cualquier acción si es necesario.
Figura 1 muestra la topología de este ejemplo en el que un equipo de administración establece una conexión SSH con el conmutador.
Configuración
Para configurar un filtro de firewall en una interfaz de administración, realice estas tareas:
Configuración rápida de CLI
Para crear y configurar rápidamente un filtro de firewall en la interfaz de administración para filtrar los paquetes SSH que salida de la interfaz de administración, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit] set firewall family inet filter mgmt_fil1 term t1 from source-port ssh set firewall family inet filter mgmt_fil1 term t1 then count c1 set firewall family inet filter mgmt_fil1 term t2 then accept set interfaces me0 unit 0 family inet filter output mgmt_fil1
Procedimiento paso a paso
Para configurar un filtro de firewall en la interfaz de administración para filtrar paquetes SSH:
Configure el filtro de firewall que coincide con los paquetes SSH desde el puerto de origen:
[edit] user@switch# set firewall family inet filter (Firewall Filters) mgmt_fil1 term t1 from source-port ssh user@switch# set firewall family inet filter mgmt_fil1 term t1 then count c1 user@switch# set firewall family inet filter mgmt_fil1 term t2 then accept
Estas instrucciones establecen un contador c1 para contar la cantidad de paquetes SSH que salida de la interfaz SSH de origen en la interfaz de administración.
Establezca el filtro de firewall para la interfaz de administración:
[edit] user@switch# set interfaces me0 unit 0 family inet filter output mgmt_fil1
Nota:También puede configurar el filtro de firewall para una interfaz VME.
Resultados
Compruebe los resultados de la configuración:
[edit]
user@switch# show
interfaces {
me0 {
unit 0 {
family inet {
filter {
output mgmt_fil1;
}
address 10.93.54.6/24;
}
}
}
}
firewall {
family inet {
filter mgmt_fil1{
term t1 {
from {
source-port ssh;
then count c1;
}
}
term t2 {
then accept;
}
}
}
}
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
Verificar que el filtro de firewall está configurado en una interfaz de administración
Propósito
Compruebe que el filtro de firewall se ha habilitado en la interfaz de administración del conmutador.
Acción
Verifique que el filtro de firewall se aplique a la interfaz de administración:
[edit] user@switch# show interfaces me0 unit 0 { family inet { filter { output mgmt_fil1; } address 10.204.33.103/20; } }Compruebe el valor del contador asociado con el filtro de firewall:
user@switch> show firewall Filter: mgmt_fil1 Counters: Name Bytes Packets c1 0 0
Desde la PC de administración, establezca una sesión de shell segura con el conmutador:
[user@management-pc ~]$ ssh user@10.204.33.103
Comprobar valores de contador después de generar paquetes SSH desde el conmutador en respuesta a la solicitud de sesión de shell seguro por parte de la PC de administración:
user@switch> show firewall Filter: mgmt_fil1 Counters: Name Bytes Packets c1 3533 23
Significado
El resultado indica que el filtro de firewall se aplicó a la interfaz de administración y el valor del contador indica que se generaron 23 paquetes SSH desde el conmutador.