EN ESTA PÁGINA
Ejemplo Uso de cadenas de filtro de cortafuegos
Este ejemplo muestra el uso de cadenas de filtro de Firewall. Los filtros de Firewall Filter1, filter2 y filter3 se aplican a interface GE-0/1/1.0 con input-chain las instrucciones output-chain de configuración y.
Aplicables
Antes de empezar:
-
Debe tener un enrutador serie MX con MPCs que ejecute Junos Release 18.4 R1 o posterior.
Si utiliza enrutadores PTX10001-36MR, PTX10004, PTX10008 o PTX10016 para esta función, instale Junos OS Evolved versión 21.4R1.
El enrutador se debe configurar para el protocolo IP versión 4 (IPv4) ( ) y configurar la interfaz lógica
family inetcon una dirección de interfaz. Todas las demás configuraciones de enrutadores iniciales deben estar completas, con Conectividad IPv4 básica entre los dispositivos confirmados.El tráfico que envíe debe ser compatible con las reglas de filtro del cortafuegos para que las reglas que configure puedan coincidir con el tráfico de prueba que envíe.
Descripción general
En este ejemplo se muestra cómo encadenar varios filtros de Firewall para la entrada y salida para poder aplicarlos a una interfaz dada y evaluarlos por orden. Cada filtro en cadena actúa de la misma forma que el filtro de la CLI. El orden de ejecución se realiza en el mismo orden que la cadena, de izquierda a derecha.
El uso de cadenas de filtros (en lugar del filtro de lista de entrada) tiene la ventaja de permitir varios niveles de filtrado, como usar un filtro inicial para llevar a cabo una clasificación genérica (como QoS) y, luego, uno o más filtros subsiguientes para un refinamiento adicional (como la seguridad), ya que evitan el conflicto heredado que puede venir cuando las direcciones IP utilizadas en la evaluación se superponen.
A partir de Junos OS Evolved versión 21.4R1, puede utilizar cadenas de filtros de firewall en los enrutadores PTX10001-36MR, PTX10004, PTX10008 y PTX10016.
Puede aplicar la cadena de filtros de la siguiente manera:
set interfaces interface-name unit unit family inet filter input-chain [filter1 filter2 filter3];
set interfaces interface-name unit unit family inet filter output-chain [filter1 filter2 filter3];
En las plataformas PTX Evo, la función tiene las siguientes limitaciones:
-
Solo puede configurar el primer filtro de una cadena de filtros como específico de la interfaz. En enrutadores serie MX, puede configurar todos los filtros de una cadena de filtros como específicos de la interfaz.
-
No puede configurar los mismos filtros como parte de un filtro de CLI normal y de cadena en el mismo punto de enlace específico de la interfaz. En estos puntos de enlace específicos de interfaz, sustituya el filtro de CLI existente por cadenas de filtros o viceversa y confirmelos por separado para evitar errores.
-
No puede configurar filtros de cadena junto con "family ANY" e interfaces-policers en el mismo punto de enlace.
-
En interfaces de circuito cerrado, no se admiten filtros de cadena de salida.
-
En las interfaces de circuito cerrado, no puede configurar las entradas CLI filtros regulares y de cadena.
-
En el caso de las interfaces IRB, no puede configurar las cadenas de filtros y CLI de filtros específicos de las interfaces.
-
Para la salida al estilo SP de capa 2, no puede configurar tanto filtros de cadena CLI de interfaz regulares específicas.
-
Filtros como no
fast-lookup-filterse admiten como parte de los filtros CLI cadena. -
CLI se admiten cadenas de filtros de seguridad para los filtros Urpf-fail-filters.
-
Como los filtros de salida de una familia solo son compatibles con los filtros de salida de una familia y los filtros de cadena no admiten filtros de búsqueda rápida, se proporcionara una comprobación de confirmación relevante MPLS mientras se configura la familia MPLS de cadena de
fast-lookup-filtersalida.
Topología
En este ejemplo, configure varios filtros de firewall y, a continuación, aplíquelos secuencialmente mediante su encadenamiento a una interfaz determinada. En este ejemplo ge-0/1/1.0 se utiliza configurada con la dirección IP 172.16.1.1/30 para la cadena de entrada y salida. Si un paquete no coincide con ninguno de los filtros de la lista de cadenas, el paquete se descarta.
Automática
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener más información acerca de cómo CLI, consulte Us e the CLI Editor en modo de configuración .
- Configuración rápida de CLI
- Configurar filtros de Firewall IPv4
- Aplicación de la cadena de filtros de entrada
- Confirmar y confirmar la configuración del candidato
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los comandos siguientes en un archivo de texto, quite los saltos de línea y, a continuación, péguelos en la [edit] CLI en el nivel jerárquico. Los nombres de filtro utilizados aquí son, y así sucesivamente, mientras que los nombres de términos filter1t1_f1 son (término1, uso de filter1), y así sucesivamente.
set firewall family inet filter filter1 term t1_f1 from protocol tcp set firewall family inet filter filter1 term t1_f1 then count f1_t1_cnt set firewall family inet filter filter1 term t2_f1 from precedence 7 set firewall family inet filter filter1 term t2_f1 then count f1_t2_cnt set firewall family inet filter filter1 term t2_f1 then accept set firewall family inet filter filter2 term t1_f2 from dscp 0 set firewall family inet filter filter2 term t1_f2 then count f2_t1_cnt set firewall family inet filter filter2 term t2_f2 from source-port 1020 set firewall family inet filter filter2 term t2_f2 then count f2_t2_cnt set firewall family inet filter filter2 term t2_f2 then accept set firewall family inet filter filter3 term t1_f3 from destination-address 172.30.1.1/32 set firewall family inet filter filter3 term t1_f3 then count f3_t1_cnt set firewall family inet filter filter3 term t2_f3 from destination-port 5454 set firewall family inet filter filter3 term t2_f3 then count f3_t2_cnt set firewall family inet filter filter3 term t2_f3 then accept set interfaces ge-0/1/1 unit 0 family inet address 172.16.1.1/30 set interfaces ge-0/1/1 unit 0 family inet filter input-chain [ filter1 filter2 filter3 ] set interfaces ge-0/1/1 unit 0 family inet filter output-chain [ filter1 filter2 filter3 ]
Configurar filtros de Firewall IPv4
Configuramos los filtros del firewall. Cada una de ellas presenta distintas condiciones de coincidencia y acciones de recuento. Los dos primeros filtros tienen varios términos con la acción de no terminación de , lo que significa que los paquetes que coincidan se pasarán al siguiente filtro de la cadena, mientras que el tercero tiene una acción de count aceptar. Se descartarían paquetes que no coincidan con ninguna de las condiciones especificadas.
Procedimiento paso a paso
Para configurar los filtros del cortafuegos:
Explore la CLI hasta el nivel de jerarquía en el que configure los filtros del firewall IPv4.
[edit] user@host# edit firewall family inet
Configure el primer filtro de Firewall para contar los paquetes TCP o paquetes con una prioridad de 7, antes de enviarlos al siguiente filtro de la cadena.
[edit firewall family inet] user@host# set filter filter1 term t1_f1 from protocol tcp user@host# set filter filter1 term t1_f1 then count f1_t1_cnt user@host# set filter filter1 term t2_f1 from precedence 7 user@host# set filter filter1 term t2_f1 then count f1_t2_cnt user@host# set filter filter1 term t2_f1 then accept
Configure el segundo filtro de Firewall para contar paquetes DSCP o paquetes con un puerto de origen 1020, antes de enviarlos al siguiente filtro de la cadena.
[edit firewall family inet] user@host# set filter filter2 term t1_f2 from dscp 0 user@host# set filter filter2 term t1_f2 then count f2_t1_cnt user@host# set filter filter2 term t2_f2 from source-port 1020 user@host# set filter filter2 term t2_f2 then count f2_t2_cnt user@host# set filter filter2 term t2_f2 then accept
Configure el último filtro de firewall para contar y aceptar paquetes con una dirección de destino 172.30.1.1/32 o un puerto de destino de 5454.
[edit firewall family inet] user@host# set filter filter3 term t1_f3 from destination-address 172.30.1.1/32 user@host# set filter filter3 term t1_f3 then count f3_t1_cnt user@host# set filter filter3 term t2_f3 from destination-port 5454 user@host# set filter filter3 term t2_f3 then count f3_t2_cnt user@host# set filter filter3 term t2_f3 then accept
Aplicación de la cadena de filtros de entrada
Aquí adjuntamos los filtros de Firewall a una interfaz dada. El orden de ejecución se realiza en el mismo orden que la cadena, de izquierda a derecha.
Procedimiento paso a paso
Para asignar la dirección IP a la interfaz:
Desplácese hasta la interfaz que utilizamos para los filtros
ge-0/1/1.0,.[edit] user@host# edit interfaces ge-0/1/1 unit 0 family inet
Asigne una dirección IPv4 a la interfaz lógica.
[edit interfaces ge-0/1/1 unit 0 family inet] user@host# set address 172.16.1.1/30
Aplique los filtros como una lista de filtros de entrada.
[edit interfaces ge-0/1/1 unit 0 family inet] user@host# set filter input-chain [ filter1 filter2 filter3 ] user@host# set filter out-chain [ filter1 filter2 filter3 ]
Confirmar y confirmar la configuración del candidato
Procedimiento paso a paso
Para confirmar y, a continuación, confirmar la configuración del candidato:
Para confirmar la configuración de los filtros del firewall,
show firewallescriba el comando de modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.[edit firewall] user@host# show family inet { } filter filter1 { term t1_f1 { from { protocol tcp; } then count f1_t1_cnt; accept; } term t2_f1 { from { precedence 7; } then count f1_t2_cnt; accept; } } filter filter2 { term t1_f2 { from { dscp 0; } then count f2_t1_cnt; } term t2_f2 { from { source-port 1020; } then count f2_t2_cnt; } } filter filter3 { term t1_f3 { from { destination-address { 172.30.1.1/32; } } then { count f3_t1_cnt; } } term t2_f3 { from { destination-port 5454; } then { count f3_t2_cnt; accept; } } } } }Para confirmar la configuración de la interfaz, escriba
show interfacesel comando de modo de configuración.[edit] user@host# show interfaces ge-0/1/1 { unit 0 { family inet { filter { input-chain [ filter1 filter2 filter3 ]; } address 172.16.1.1/30; } } }Si ha terminado de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Comproba
Confirme que la configuración funciona según lo previsto, es decir, que el tráfico coincidente se evalúa en cada uno de los filtros Filter1, filter2 y filter3, y que se han tomado las medidas previstas (Count o Accept).
Enviar tráfico a través de los filtros del firewall
Purpose
Envíe tráfico de un dispositivo al enrutador que haya configurado para ver si todos los filtros relevantes de la cadena están evaluando los paquetes coincidentes.
Intervención
Para comprobar que los paquetes de entrada se evalúan en Filter1, filter2 y filter3:
Desde el host remoto conectado a
ge-0/1/1.0, envíe un paquete con una prioridad de 7. El paquete se debe contar y, a continuación, evaluar con filter2.Desde el host remoto conectado a
ge-0/1/1.0, envíe un paquete con el valor 0 para DSCP. El paquete debe ser contado y, a continuación, evaluado por filter3.Desde el host remoto al que está conectado, envíe un paquete con una dirección de destino
ge-0/1/1.0de 172.30.1.1/32 y un número de puerto de destino de 5454. El paquete se debe contar y, a continuación, aceptar.Para mostrar la información de contador de los filtros configurados
show firewall filter filter-name, escriba el comando del modo operativo. La salida del comando muestra la cantidad de bytes y paquetes que coinciden con los términos de filtro asociados con los contadores.