EN ESTA PÁGINA
Ejemplo: Uso de cadenas de filtro de firewall
En este ejemplo, se muestra el uso de cadenas de filtro de firewall. Los filtros de firewall filter1, filter2 y filter3 se aplican a la interfaz ge-0/1/1.0 mediante las input-chain instrucciones de configuración y.output-chain
Requisitos
Antes de empezar:
-
Debe tener un enrutador serie MX con MPC y ejecutar la versión 18.4R1 o posterior de Junos.
Si usa enrutadores PTX10001-36MR, PTX10004, PTX10008 o PTX10016 para esta función, instale Junos OS Evolved Release 21.4R1.
El enrutador debe configurarse para el protocolo IP versión 4 (IPv4) () y
family inetconfigurar la interfaz lógica con una dirección de interfaz. El resto de las configuraciones iniciales del enrutador deben estar completas, con conectividad IPv4 básica entre los dispositivos confirmada.El tráfico que envíe debe ser compatible con las reglas de filtro de firewall para que las reglas que configure puedan coincidir con el tráfico de prueba que envía.
Descripción general
En estos ejemplos, se muestra cómo encadenar varios filtros de firewall tanto para la entrada como para la salida para que se puedan aplicar a una interfaz determinada y evaluarse en secuencia. El orden de ejecución ocurre en el mismo orden que la cadena, de izquierda a derecha.
El uso de cadenas de filtros (en lugar del filtro de lista de entradas) tiene la ventaja de permitir varios niveles de filtrado, como usar un filtro inicial para realizar una clasificación genérica (como QoS) y, luego, uno o más filtros posteriores para refinar más (como seguridad), ya que evitan el conflicto de herencia que puede venir cuando las direcciones IP utilizadas en la evaluación se superponen.
A partir de Junos OS Evolved versión 21.4R1, puede usar cadenas de filtro de firewall en enrutadores PTX10001-36MR, PTX10004, PTX10008 y PTX10016.
Puede aplicar la cadena de filtro de la siguiente manera:
set interfaces interface-name unit unit family inet filter input-chain [filter1 filter2 filter3];
set interfaces interface-name unit unit family inet filter output-chain [filter1 filter2 filter3];
En las plataformas PTX Evo, la función tiene las siguientes limitaciones:
-
Solo puede configurar el primer filtro de una cadena de filtros como específico de la interfaz. En los enrutadores serie MX, puede configurar todos los filtros de una cadena de filtros como específicos de la interfaz.
-
No puede configurar los mismos filtros como parte de un filtro de CLI normal y filtros de cadena en el mismo punto de enlace específico de la interfaz. En dichos puntos de enlace específicos de la interfaz, reemplace el filtro de CLI existente con cadenas de filtro o viceversa y confíquelos por separado, para evitar errores.
-
No puede configurar filtros de cadena junto con "familia ANY" y policias de interfaz en el mismo punto de enlace.
-
En interfaces de circuito cerrado, no se admiten filtros de cadena de salida.
-
En las interfaces de circuito cerrado, no puede configurar tanto el filtro regular de la CLI de entrada como los filtros de cadena.
-
En el caso de las interfaces IRB, no puede configurar tanto cadenas de filtro y filtro específicos de interfaz de CLI regulares.
-
Para la salida de estilo SP de capa 2, no puede configurar tanto el filtro específico de interfaz de CLI regular como los filtros de cadena.
-
No se admiten filtros como
fast-lookup-filterparte de filtros de cadena de CLI. -
Las cadenas de filtros de CLI no son compatibles con los filtros de error de Urpf.
-
Dado que los filtros de salida de la familia MPLS son compatibles como
fast-lookup-filtersolo y los filtros de cadena no son compatibles con filtros de búsqueda rápida, se proporcionará la comprobación de confirmación pertinente al configurar los filtros de cadena de salida MPLS de la familia.
Topología
En este ejemplo, configure varios filtros de firewall y, luego, los aplique en secuencia mediante el encadenamiento a una interfaz determinada. En este ejemplo, se utiliza ge-0/1/1.0 la configuración con la dirección IP 172.16.1.1/30 para la cadena de entrada y salida. Si un paquete no coincide con ninguno de los filtros de la lista de cadenas, se pierde el paquete.
Configuración
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener más información acerca de cómo navegar por la CLI, consulte Usar el Editor de CLI en modo de configuración.
- Configuración rápida de CLI
- Configurar filtros de firewall IPv4
- Aplicar la cadena de filtros de entrada
- Confirme y confirme la configuración de su candidato
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos en un archivo de texto, elimine los saltos de línea y, a continuación, pegue los comandos en la CLI en el [edit] nivel de jerarquía. Los nombres de filtro utilizados aquí son filter1, y así sucesivamente, mientras que los nombres de términos son t1_f1 (términos1, usando filtro1), y así sucesivamente.
set firewall family inet filter filter1 term t1_f1 from protocol tcp set firewall family inet filter filter1 term t1_f1 then count f1_t1_cnt set firewall family inet filter filter1 term t2_f1 from precedence 7 set firewall family inet filter filter1 term t2_f1 then count f1_t2_cnt set firewall family inet filter filter1 term t2_f1 then accept set firewall family inet filter filter2 term t1_f2 from dscp 0 set firewall family inet filter filter2 term t1_f2 then count f2_t1_cnt set firewall family inet filter filter2 term t2_f2 from source-port 1020 set firewall family inet filter filter2 term t2_f2 then count f2_t2_cnt set firewall family inet filter filter2 term t2_f2 then accept set firewall family inet filter filter3 term t1_f3 from destination-address 172.30.1.1/32 set firewall family inet filter filter3 term t1_f3 then count f3_t1_cnt set firewall family inet filter filter3 term t2_f3 from destination-port 5454 set firewall family inet filter filter3 term t2_f3 then count f3_t2_cnt set firewall family inet filter filter3 term t2_f3 then accept set interfaces ge-0/1/1 unit 0 family inet address 172.16.1.1/30 set interfaces ge-0/1/1 unit 0 family inet filter input-chain [ filter1 filter2 filter3 ] set interfaces ge-0/1/1 unit 0 family inet filter output-chain [ filter1 filter2 filter3 ]
Configurar filtros de firewall IPv4
Aquí configuramos los filtros de firewall. Cada uno tiene diferentes condiciones de coincidencia y acciones de recuento. Los dos primeros filtros tienen varios términos con la acción de no terminar de count, lo que significa que los paquetes coincidentes se pasarán al siguiente filtro de la cadena, mientras que el tercero tiene una acción de aceptar. Los paquetes que no coincidan con ninguna de las condiciones especificadas se eliminarían.
Procedimiento paso a paso
Para configurar los filtros de firewall:
Navegue la CLI al nivel de jerarquía en el que configure los filtros de firewall IPv4.
[edit] user@host# edit firewall family inet
Configure el primer filtro de firewall para contar paquetes TCP, o paquetes con una prioridad de 7, antes de enviarlos al siguiente filtro de la cadena.
[edit firewall family inet] user@host# set filter filter1 term t1_f1 from protocol tcp user@host# set filter filter1 term t1_f1 then count f1_t1_cnt user@host# set filter filter1 term t2_f1 from precedence 7 user@host# set filter filter1 term t2_f1 then count f1_t2_cnt user@host# set filter filter1 term t2_f1 then accept
Configure el segundo filtro de firewall para contar paquetes DSCP o paquetes con un puerto de origen de 1020, antes de enviarlos al siguiente filtro de la cadena.
[edit firewall family inet] user@host# set filter filter2 term t1_f2 from dscp 0 user@host# set filter filter2 term t1_f2 then count f2_t1_cnt user@host# set filter filter2 term t2_f2 from source-port 1020 user@host# set filter filter2 term t2_f2 then count f2_t2_cnt user@host# set filter filter2 term t2_f2 then accept
Configure el último filtro de firewall para contar y aceptar paquetes con una dirección de destino de 172.30.1.1/32 o un puerto de destino de 5454.
[edit firewall family inet] user@host# set filter filter3 term t1_f3 from destination-address 172.30.1.1/32 user@host# set filter filter3 term t1_f3 then count f3_t1_cnt user@host# set filter filter3 term t2_f3 from destination-port 5454 user@host# set filter filter3 term t2_f3 then count f3_t2_cnt user@host# set filter filter3 term t2_f3 then accept
Aplicar la cadena de filtros de entrada
Aquí adjuntamos los filtros de firewall a una interfaz determinada. El orden de ejecución ocurre en el mismo orden que la cadena, de izquierda a derecha.
Procedimiento paso a paso
Para asignar una dirección IP a la interfaz:
Vaya a la interfaz que estamos usando para los filtros,
ge-0/1/1.0.[edit] user@host# edit interfaces ge-0/1/1 unit 0 family inet
Asigne una dirección IPv4 a la interfaz lógica.
[edit interfaces ge-0/1/1 unit 0 family inet] user@host# set address 172.16.1.1/30
Aplique los filtros como una lista de filtros de entrada.
[edit interfaces ge-0/1/1 unit 0 family inet] user@host# set filter input-chain [ filter1 filter2 filter3 ] user@host# set filter out-chain [ filter1 filter2 filter3 ]
Confirme y confirme la configuración de su candidato
Procedimiento paso a paso
Para confirmar y, luego, confirmar la configuración de su candidato:
Para confirmar la configuración de los filtros de firewall, ingrese al comando del modo de
show firewallconfiguración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.[edit firewall] user@host# show family inet { } filter filter1 { term t1_f1 { from { protocol tcp; } then count f1_t1_cnt; accept; } term t2_f1 { from { precedence 7; } then count f1_t2_cnt; accept; } } filter filter2 { term t1_f2 { from { dscp 0; } then count f2_t1_cnt; } term t2_f2 { from { source-port 1020; } then count f2_t2_cnt; } } filter filter3 { term t1_f3 { from { destination-address { 172.30.1.1/32; } } then { count f3_t1_cnt; } } term t2_f3 { from { destination-port 5454; } then { count f3_t2_cnt; accept; } } } } }Confirme la configuración de la interfaz ingresando el comando de modo de
show interfacesconfiguración.[edit] user@host# show interfaces ge-0/1/1 { unit 0 { family inet { filter { input-chain [ filter1 filter2 filter3 ]; } address 172.16.1.1/30; } } }Si ha terminado de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Verificación
Confirme que la configuración funciona como se esperaba, es decir, que el tráfico correspondiente es evaluado por cada uno de los filtros filter1, filter2 y filter3, y que se ha llevado a cabo la acción esperada (contar o aceptar).
Enviar tráfico a través de los filtros de firewall
Propósito
Envíe tráfico desde un dispositivo al enrutador que haya configurado para ver si todos los filtros relevantes de la cadena evalúan los paquetes coincidentes.
Acción
Para comprobar que los paquetes de entrada sean evaluados por filter1, filter2 y filter3:
Desde el host remoto que está conectado a
ge-0/1/1.0, envíe un paquete con una prioridad de 7. El paquete debe contarse y, luego, evaluarse mediante filter2.Desde el host remoto que está conectado a
ge-0/1/1.0, envíe un paquete con valor DSCP de 0. El paquete debe ser contado y, luego, evaluado por filter3.Desde el host remoto que está conectado a
ge-0/1/1.0, envíe un paquete con una dirección de destino de 172.30.1.1/32 y un número de puerto de destino de 5454. El paquete debe contarse y, luego, aceptarse.Para mostrar información de contador para los filtros que configuró, ingrese el comando de
show firewall filter filter-namemodo operativo. El resultado del comando muestra la cantidad de bytes y paquetes que coinciden con los términos de filtro asociados con los contadores.