Ejemplo: Configuración de un filtro de firewall en una interfaz de administración en un conmutador de la serie EX
Puede configurar un filtro de firewall en una interfaz de administración en un conmutador de la serie EX para filtrar el tráfico de entrada o salida en la interfaz de administración del conmutador. Puede utilizar utilidades como SSH o Telnet para conectarse a la interfaz de administración a través de la red y, a continuación, utilizar protocolos de administración como SNMP para recopilar datos estadísticos del conmutador.
En este ejemplo se describe cómo configurar un filtro de firewall en una interfaz de administración para filtrar los paquetes SSH que salen de un conmutador de la serie EX:
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Un conmutador de la serie EX y un PC de administración
Junos OS versión 10.4 o posterior para conmutadores serie EX
Descripción general y topología
Topología
En este ejemplo, un PC de administración establece una conexión SSH con la interfaz de administración de un conmutador para administrarlo de forma remota. La dirección IP configurada para la interfaz de administración es 10.204.33.103/20. Se configura un filtro de firewall en la interfaz de administración para contar el número de paquetes que salen de un puerto SSH de origen en la interfaz de administración. Cuando el PC de administración establece la sesión SSH con la interfaz de administración, la interfaz de administración devuelve paquetes SSH al PC de administración para confirmar que la sesión se ha establecido. Estos paquetes SSH se filtran según la condición de coincidencia especificada en el filtro de firewall antes de reenviarse al equipo de administración. Como estos paquetes se generan desde el puerto SSH de origen de la interfaz de administración, cumplen la condición de coincidencia especificada para la interfaz de administración. El número de paquetes SSH coincidentes proporciona un recuento del número de paquetes que han atravesado la interfaz de administración. Un administrador del sistema puede utilizar esta información para supervisar el tráfico de administración y realizar cualquier acción si es necesario.
Figura 1 muestra la topología de este ejemplo en el que un PC de administración establece una conexión SSH con el conmutador.

Configuración
Para configurar un filtro de firewall en una interfaz de administración, realice estas tareas:
Configuración rápida de CLI
Para crear y configurar rápidamente un filtro de firewall en la interfaz de administración para filtrar los paquetes SSH que salen de la interfaz de administración, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit] set firewall family inet filter mgmt_fil1 term t1 from source-port ssh set firewall family inet filter mgmt_fil1 term t1 then count c1 set firewall family inet filter mgmt_fil1 term t2 then accept set interfaces me0 unit 0 family inet filter output mgmt_fil1
Procedimiento paso a paso
Para configurar un filtro de firewall en la interfaz de administración para filtrar paquetes SSH:
Configure el filtro de firewall que coincida con los paquetes SSH desde el puerto de origen:
[edit] user@switch# set firewall family inet filter (Firewall Filters) mgmt_fil1 term t1 from source-port ssh user@switch# set firewall family inet filter mgmt_fil1 term t1 then count c1 user@switch# set firewall family inet filter mgmt_fil1 term t2 then accept
Estas instrucciones establecen un contador c1 para contar el número de paquetes SSH que salen de la interfaz SSH de origen en la interfaz de administración.
Establezca el filtro de firewall para la interfaz de administración:
[edit] user@switch# set interfaces me0 unit 0 family inet filter output mgmt_fil1
Nota:También puede establecer el filtro de firewall para una interfaz VME.
Resultados
Compruebe los resultados de la configuración:
[edit] user@switch# show interfaces { me0 { unit 0 { family inet { filter { output mgmt_fil1; } address 10.93.54.6/24; } } } } firewall { family inet { filter mgmt_fil1{ term t1 { from { source-port ssh; then count c1; } } term t2 { then accept; } } } }
Verificación
Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:
Comprobar que el filtro de firewall está configurado en una interfaz de administración
Propósito
Compruebe que el filtro de firewall se haya habilitado en la interfaz de administración del conmutador.
Acción
Compruebe que el filtro de firewall esté aplicado a la interfaz de administración:
[edit] user@switch# show interfaces me0 unit 0 { family inet { filter { output mgmt_fil1; } address 10.204.33.103/20; } }
Compruebe el valor del contador asociado al filtro de firewall:
user@switch> show firewall Filter: mgmt_fil1 Counters: Name Bytes Packets c1 0 0
Desde el PC de administración, establezca una sesión de shell segura con el conmutador:
[user@management-pc ~]$ ssh user@10.204.33.103
Compruebe los valores del contador después de generar paquetes SSH desde el conmutador en respuesta a la solicitud de sesión de shell seguro por parte del PC de administración:
user@switch> show firewall Filter: mgmt_fil1 Counters: Name Bytes Packets c1 3533 23
Significado
El resultado indica que el filtro de firewall se aplicó a la interfaz de administración y el valor del contador indica que se generaron 23 paquetes SSH desde el conmutador.