EN ESTA PÁGINA
Ejemplo: Configurar el registro para un término de filtro de firewall
En este ejemplo, se muestra cómo configurar un filtro de firewall para registrar encabezados de paquete.
Requisitos
No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.
Descripción general
En este ejemplo, se utiliza un filtro de firewall que registra y cuenta los paquetes ICMP que tienen 192.168.207.222 como origen o destino.
Configuración
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener más información acerca de cómo navegar por la CLI, consulte Usar el Editor de CLI en modo de configuración.
Para configurar este ejemplo, realice las siguientes tareas:
- Configuración rápida de CLI
- Configure el archivo de mensajes Syslog para la instalación de firewall
- Configurar el filtro de firewall
- Aplicar el filtro de firewall a una interfaz lógica
- Confirme y confirme la configuración de su candidato
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos de configuración en un archivo de texto, elimine los saltos de línea y, a continuación, pegue los comandos en la CLI en el [edit] nivel de jerarquía.
set system syslog file messages_firewall_any firewall any set system syslog file messages_firewall_any archive no-world-readable set firewall family inet filter icmp_syslog term icmp_match from address 192.168.207.222/32 set firewall family inet filter icmp_syslog term icmp_match from protocol icmp set firewall family inet filter icmp_syslog term icmp_match then count packets set firewall family inet filter icmp_syslog term icmp_match then syslog set firewall family inet filter icmp_syslog term icmp_match then accept set firewall family inet filter icmp_syslog term default_term then accept set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30 set interfaces ge-0/0/1 unit 0 family inet filter input icmp_syslog
Configure el archivo de mensajes Syslog para la instalación de firewall
Procedimiento paso a paso
Para configurar un archivo de mensajes syslog para la firewall instalación:
Configure un archivo de mensajes para todos los mensajes syslog generados para la
firewallinstalación.user@host# set system syslog file messages_firewall_any firewall any
Restrinja el permiso a los archivos syslog de instalaciones archivados
firewallal usuario raíz y a los usuarios que tengan el permiso de mantenimiento de Junos OS.user@host# set system syslog file messages_firewall_any archive no-world-readable
Configurar el filtro de firewall
Procedimiento paso a paso
Para configurar el filtro icmp_syslog de firewall que registra y cuenta los paquetes ICMP que tienen 192.168.207.222 como origen o destino:
Cree el filtro
icmp_syslogde firewall .[edit] user@host# edit firewall family inet filter icmp_syslog
Configure la coincidencia en el protocolo ICMP y una dirección.
[edit firewall family inet filter icmp_syslog] user@host# set term icmp_match from address 192.168.207.222/32 user@host# set term icmp_match from protocol icmp
Cuente, registre y acepte paquetes coincidentes.
[edit firewall family inet filter icmp_syslog] user@host# set term icmp_match then count packets user@host# set term icmp_match then syslog user@host# set term icmp_match then accept
Acepte todos los demás paquetes.
[edit firewall family inet filter icmp_syslog] user@host# set term default_term then accept
Aplicar el filtro de firewall a una interfaz lógica
Procedimiento paso a paso
Para aplicar el filtro de firewall a una interfaz lógica:
Configure la interfaz lógica a la que aplicará el filtro de firewall.
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
Configure la dirección de interfaz para la interfaz lógica.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
Aplique el filtro de firewall a la interfaz lógica.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input icmp_syslog
Confirme y confirme la configuración de su candidato
Procedimiento paso a paso
Para confirmar y, luego, confirmar la configuración de su candidato:
Para confirmar la configuración del archivo de mensaje syslog para la
firewallinstalación, ingrese el comando del modo deshow systemconfiguración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.[edit] user@host# show system syslog { file messages_firewall_any { firewall any; archive no-world-readable; } }Para confirmar la configuración del filtro de firewall, ingrese el comando del modo de
show firewallconfiguración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.[edit] user@host# show firewall family inet { filter icmp_syslog { term icmp_match { from { address { 192.168.207.222/32; } protocol icmp; } then { count packets; syslog; accept; } } term default_term { then accept; } } }Confirme la configuración de la interfaz ingresando el comando de modo de
show interfacesconfiguración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { filter { input icmp_syslog; } address 10.1.2.3/30; } } }Si ha terminado de configurar el dispositivo, confirme la configuración del candidato.
[edit] user@host# commit
Verificación
Para confirmar que la configuración funciona correctamente, ingrese el show log filter comando:
user@host> show log messages_firewall_any Mar 20 08:03:11 hostname feb FW: so-0/1/0.0 A icmp 192.168.207.222 192.168.207.223 0 0 (1 packets)
Este archivo de salida contiene los campos siguientes:
Date and Time— Fecha y hora en la que se recibió el paquete (no se muestra en el valor predeterminado).Acción de filtro:
A—Aceptar (o el próximo plazo)D—DescartarR—Rechazar
Protocol— Nombre o número de protocolo del paquete.Source address—Dirección IP de origen en el paquete.Destination address—Dirección IP de destino en el paquete.Nota:Si el protocolo es ICMP, se mostrará el tipo y el código ICMP. Para el resto de protocolos, se muestran los puertos de origen y destino.
Los dos últimos campos (ambos cero) son los puertos TCP/UDP de origen y destino, respectivamente, y se muestran solo para paquetes TCP o UDP. Este mensaje de registro indica que solo se ha detectado un paquete para esta coincidencia en un intervalo de aproximadamente 1 segundo. Si los paquetes llegan más rápido, la función de registro del sistema comprime la información para que se genere menos salida y muestra una salida similar a la siguiente:
user@host> show log messages_firewall_any Mar 20 08:08:45 hostname feb FW: so-0/1/0.0 A icmp 192.168.207.222 192.168.207.223 0 0 (515 packets)