Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ejemplo: Aplicación de listas de varios filtros de firewall

En este ejemplo se muestra cómo aplicar listas de varios filtros de firewall.

Requisitos

Antes de comenzar, asegúrese de tener:

  • Instaló el enrutador o conmutador, y admitió PIC, DPC o MPC y realizó la configuración inicial del enrutador o conmutador.

  • Ethernet básico configurado en la topología.

  • Se configuró una interfaz lógica para ejecutar el protocolo IP versión 4 (IPv4) (family inet) y se configuró la interfaz lógica con una dirección de interfaz. En este ejemplo se utiliza una interfaz ge-1/3/0.0 lógica configurada con la dirección IP 172.16.1.2/30.

    Nota:

    Para completar, la sección de configuración de este ejemplo incluye la configuración de una dirección IP para la interfaz ge-1/3/0.0lógica.

  • Se ha comprobado que el tráfico fluye en la topología y que el tráfico IPv4 de entrada y salida fluye a través de la interfaz ge-1/3/0.0lógica.

  • Ha comprobado que tiene acceso al host remoto conectado a la interfaz ge-1/3/0.0lógica de este enrutador o conmutador.

Nota:

Los filtros o aplicadores de interfaz física no son compatibles con los filtros de lista.

Descripción general

En este ejemplo, se configuran tres filtros de firewall IPv4 y se aplica cada filtro directamente a la misma interfaz lógica mediante una lista.

Topología

En este ejemplo se aplican los siguientes filtros de firewall como una lista de filtros de entrada en la interfaz ge-1/3/0.0lógica. Cada filtro contiene un único término que evalúa los paquetes IPv4 y acepta paquetes en función del valor del destination port campo en el encabezado TCP:

  • El filtro filter_FTP coincide en el número de puerto FTP (21).

  • El filtro filter_SSH coincide en el número de puerto SSH (22).

  • El filtro filter_Telnet coincide en el número de puerto Telnet (23).

Si un paquete entrante no coincide con ninguno de los filtros de la lista de entrada, el paquete se descarta.

Nota:

Junos OS utiliza filtros en una lista en el orden en que aparecen los nombres de filtro en la lista. En este sencillo ejemplo, el orden es irrelevante porque todos los filtros especifican la misma acción.

Cualquiera de los filtros se puede aplicar a otras interfaces, ya sea solo (usando la input instrucción o output ) o en combinación con otros filtros (usando la input-list instrucción o output-list ). El objetivo es configurar varios filtros de firewall "minimalistas" que puede reutilizar en listas de filtros específicas de la interfaz.

Configuración

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Usar el editor de CLI en el modo de configuración.

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos en un archivo de texto, quite los saltos de línea y, a continuación, péguelos en la CLI en el nivel de [edit] jerarquía.

Configurar varios filtros de firewall IPv4

Procedimiento paso a paso

Para configurar los filtros del firewall IPv4:

  1. Navegue por la CLI hasta el nivel jerárquico en el que configura los filtros de firewall IPv4.

  2. Configure el primer filtro de firewall para contar y aceptar paquetes para el puerto 21.

  3. Configure el segundo filtro de firewall para contar y aceptar paquetes para el puerto 22.

  4. Configure el tercer filtro de firewall para contar y aceptar paquetes desde el puerto 23.

  5. Configure el último filtro de firewall para contar los paquetes descartados.

Aplicar los filtros a una interfaz lógica como una lista de entrada y una lista de salida

Procedimiento paso a paso

Para aplicar los seis filtros de firewall IPv4 como una lista de filtros de entrada y una lista de filtros de salida:

  1. Navegue por la CLI hasta el nivel de jerarquía en el que aplica los filtros de firewall IPv4 a la interfaz ge-1/3/0.0lógica.

  2. Configure la familia de protocolos IPv4 para la interfaz lógica.

  3. Aplique los filtros como una lista de filtros de entrada.

Confirme y confirme su configuración candidata

Procedimiento paso a paso

Para confirmar y confirmar la configuración del candidato:

  1. Confirme la configuración de los filtros del firewall introduciendo el comando de show firewall modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

  2. Confirme la configuración de la interfaz introduciendo el comando de show interfaces modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

  3. Si ha terminado de configurar el dispositivo, confirme la configuración candidata.

Verificación

Confirme que la configuración funcione correctamente.

Comprobación de que los paquetes entrantes solo se aceptan si están destinados al puerto FTP, SSH o Telnet

Propósito

Compruebe que los tres filtros estén activos para la interfaz lógica.

Acción

Para comprobar que los paquetes de entrada se aceptan de acuerdo con los tres filtros:

  1. Desde el host remoto que está conectado a la interfaz ge-1/3/0.0lógica de este enrutador (o conmutador), envíe un paquete con el número de puerto de destino 21 en el encabezado. El paquete debe ser aceptado.

  2. Desde el host remoto que está conectado a la interfaz ge-1/3/0.0lógica de este enrutador (o conmutador), envíe un paquete con el número de puerto de destino 22 en el encabezado. El paquete debe ser aceptado.

  3. Desde el host remoto que está conectado a la interfaz ge-1/3/0.0lógica de este enrutador (o conmutador), envíe un paquete con el número de puerto de destino 23 en el encabezado. El paquete debe ser aceptado.

  4. Desde el host remoto que está conectado a la interfaz ge-1/3/0.0lógica de este enrutador (o conmutador), envíe un paquete con un número de puerto de destino distinto del 21, 22 o 23. El paquete debe ser desechado.

  5. Para mostrar información del contador para la lista de filtros aplicados a la entrada en ge-1/3/0.0 , ingrese el comando del show firewall filter ge-1/3/0.0-inet-i modo operativo. El resultado del comando muestra el número de bytes y paquetes que coinciden con los términos de filtro asociados con los siguientes contadores:

    • pkts_FTP-ge-1/3/0.0-inet-i

    • pkts_SSH-ge-1/3/0.0-inet-i

    • pkts_Telnet-ge-1/3/0.0-inet-i

    • pkts_discard-ge-1/3/0.0-inet-i