Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ejemplo Uso de cadenas de filtro de cortafuegos

Este ejemplo muestra el uso de cadenas de filtro de Firewall. Los filtros de Firewall Filter1, filter2 y filter3 se aplican a interface GE-0/1/1.0 con input-chain las instrucciones output-chain de configuración y.

Aplicables

Antes de empezar:

  • Debe tener un enrutador serie MX con MPCs que ejecute Junos Release 18.4 R1 o posterior.

    Si utiliza enrutadores PTX10001-36MR, PTX10004, PTX10008 o PTX10016 para esta función, instale Junos OS Evolved versión 21.4R1.

  • El enrutador se debe configurar para el protocolo IP versión 4 (IPv4) ( ) y configurar la interfaz lógica family inet con una dirección de interfaz. Todas las demás configuraciones de enrutadores iniciales deben estar completas, con Conectividad IPv4 básica entre los dispositivos confirmados.

  • El tráfico que envíe debe ser compatible con las reglas de filtro del cortafuegos para que las reglas que configure puedan coincidir con el tráfico de prueba que envíe.

Descripción general

En este ejemplo se muestra cómo encadenar varios filtros de Firewall para la entrada y salida para poder aplicarlos a una interfaz dada y evaluarlos por orden. Cada filtro en cadena actúa de la misma forma que el filtro de la CLI. El orden de ejecución se realiza en el mismo orden que la cadena, de izquierda a derecha.

El uso de cadenas de filtros (en lugar del filtro de lista de entrada) tiene la ventaja de permitir varios niveles de filtrado, como usar un filtro inicial para llevar a cabo una clasificación genérica (como QoS) y, luego, uno o más filtros subsiguientes para un refinamiento adicional (como la seguridad), ya que evitan el conflicto heredado que puede venir cuando las direcciones IP utilizadas en la evaluación se superponen.

A partir de Junos OS Evolved versión 21.4R1, puede utilizar cadenas de filtros de firewall en los enrutadores PTX10001-36MR, PTX10004, PTX10008 y PTX10016.

Puede aplicar la cadena de filtros de la siguiente manera:

set interfaces interface-name unit unit family inet filter input-chain [filter1 filter2 filter3];

set interfaces interface-name unit unit family inet filter output-chain [filter1 filter2 filter3];

En las plataformas PTX Evo, la función tiene las siguientes limitaciones:

  • Solo puede configurar el primer filtro de una cadena de filtros como específico de la interfaz. En enrutadores serie MX, puede configurar todos los filtros de una cadena de filtros como específicos de la interfaz.

  • No puede configurar los mismos filtros como parte de un filtro de CLI normal y de cadena en el mismo punto de enlace específico de la interfaz. En estos puntos de enlace específicos de interfaz, sustituya el filtro de CLI existente por cadenas de filtros o viceversa y confirmelos por separado para evitar errores.

  • No puede configurar filtros de cadena junto con "family ANY" e interfaces-policers en el mismo punto de enlace.

  • En interfaces de circuito cerrado, no se admiten filtros de cadena de salida.

  • En las interfaces de circuito cerrado, no puede configurar las entradas CLI filtros regulares y de cadena.

  • En el caso de las interfaces IRB, no puede configurar las cadenas de filtros y CLI de filtros específicos de las interfaces.

  • Para la salida al estilo SP de capa 2, no puede configurar tanto filtros de cadena CLI de interfaz regulares específicas.

  • Filtros como no fast-lookup-filter se admiten como parte de los filtros CLI cadena.

  • CLI se admiten cadenas de filtros de seguridad para los filtros Urpf-fail-filters.

  • Como los filtros de salida de una familia solo son compatibles con los filtros de salida de una familia y los filtros de cadena no admiten filtros de búsqueda rápida, se proporcionara una comprobación de confirmación relevante MPLS mientras se configura la familia MPLS de cadena de fast-lookup-filter salida.

Topología

En este ejemplo, configure varios filtros de firewall y, a continuación, aplíquelos secuencialmente mediante su encadenamiento a una interfaz determinada. En este ejemplo ge-0/1/1.0 se utiliza configurada con la dirección IP 172.16.1.1/30 para la cadena de entrada y salida. Si un paquete no coincide con ninguno de los filtros de la lista de cadenas, el paquete se descarta.

Automática

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener más información acerca de cómo CLI, consulte Us e the CLI Editor en modo de configuración .

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los comandos siguientes en un archivo de texto, quite los saltos de línea y, a continuación, péguelos en la [edit] CLI en el nivel jerárquico. Los nombres de filtro utilizados aquí son, y así sucesivamente, mientras que los nombres de términos filter1t1_f1 son (término1, uso de filter1), y así sucesivamente.

Configurar filtros de Firewall IPv4

Configuramos los filtros del firewall. Cada una de ellas presenta distintas condiciones de coincidencia y acciones de recuento. Los dos primeros filtros tienen varios términos con la acción de no terminación de , lo que significa que los paquetes que coincidan se pasarán al siguiente filtro de la cadena, mientras que el tercero tiene una acción de count aceptar. Se descartarían paquetes que no coincidan con ninguna de las condiciones especificadas.

Procedimiento paso a paso

Para configurar los filtros del cortafuegos:

  1. Explore la CLI hasta el nivel de jerarquía en el que configure los filtros del firewall IPv4.

  2. Configure el primer filtro de Firewall para contar los paquetes TCP o paquetes con una prioridad de 7, antes de enviarlos al siguiente filtro de la cadena.

  3. Configure el segundo filtro de Firewall para contar paquetes DSCP o paquetes con un puerto de origen 1020, antes de enviarlos al siguiente filtro de la cadena.

  4. Configure el último filtro de firewall para contar y aceptar paquetes con una dirección de destino 172.30.1.1/32 o un puerto de destino de 5454.

Aplicación de la cadena de filtros de entrada

Aquí adjuntamos los filtros de Firewall a una interfaz dada. El orden de ejecución se realiza en el mismo orden que la cadena, de izquierda a derecha.

Procedimiento paso a paso

Para asignar la dirección IP a la interfaz:

  1. Desplácese hasta la interfaz que utilizamos para los filtros ge-0/1/1.0,.

  2. Asigne una dirección IPv4 a la interfaz lógica.

  3. Aplique los filtros como una lista de filtros de entrada.

Confirmar y confirmar la configuración del candidato

Procedimiento paso a paso

Para confirmar y, a continuación, confirmar la configuración del candidato:

  1. Para confirmar la configuración de los filtros del firewall, show firewall escriba el comando de modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

  2. Para confirmar la configuración de la interfaz, escriba show interfaces el comando de modo de configuración.

  3. Si ha terminado de configurar el dispositivo, confirme la configuración.

Comproba

Confirme que la configuración funciona según lo previsto, es decir, que el tráfico coincidente se evalúa en cada uno de los filtros Filter1, filter2 y filter3, y que se han tomado las medidas previstas (Count o Accept).

Enviar tráfico a través de los filtros del firewall

Purpose

Envíe tráfico de un dispositivo al enrutador que haya configurado para ver si todos los filtros relevantes de la cadena están evaluando los paquetes coincidentes.

Intervención

Para comprobar que los paquetes de entrada se evalúan en Filter1, filter2 y filter3:

  1. Desde el host remoto conectado a ge-0/1/1.0, envíe un paquete con una prioridad de 7. El paquete se debe contar y, a continuación, evaluar con filter2.

  2. Desde el host remoto conectado a ge-0/1/1.0, envíe un paquete con el valor 0 para DSCP. El paquete debe ser contado y, a continuación, evaluado por filter3.

  3. Desde el host remoto al que está conectado, envíe un paquete con una dirección de destino ge-0/1/1.0 de 172.30.1.1/32 y un número de puerto de destino de 5454. El paquete se debe contar y, a continuación, aceptar.

  4. Para mostrar la información de contador de los filtros configurados show firewall filter filter-name , escriba el comando del modo operativo. La salida del comando muestra la cantidad de bytes y paquetes que coinciden con los términos de filtro asociados con los contadores.