EN ESTA PÁGINA
Ejemplo: Aplicación de listas de varios filtros de firewall
En este ejemplo se muestra cómo aplicar listas de varios filtros de firewall.
Requisitos
Antes de comenzar, asegúrese de tener:
-
Instaló el enrutador o conmutador, y admitió PIC, DPC o MPC y realizó la configuración inicial del enrutador o conmutador.
-
Ethernet básico configurado en la topología.
-
Se configuró una interfaz lógica para ejecutar el protocolo IP versión 4 (IPv4) (
family inet
) y se configuró la interfaz lógica con una dirección de interfaz. En este ejemplo se utiliza una interfazge-1/3/0.0
lógica configurada con la dirección IP 172.16.1.2/30.Nota:Para completar, la sección de configuración de este ejemplo incluye la configuración de una dirección IP para la interfaz
ge-1/3/0.0
lógica. -
Se ha comprobado que el tráfico fluye en la topología y que el tráfico IPv4 de entrada y salida fluye a través de la interfaz
ge-1/3/0.0
lógica. -
Ha comprobado que tiene acceso al host remoto conectado a la interfaz
ge-1/3/0.0
lógica de este enrutador o conmutador.
Los filtros o aplicadores de interfaz física no son compatibles con los filtros de lista.
Descripción general
En este ejemplo, se configuran tres filtros de firewall IPv4 y se aplica cada filtro directamente a la misma interfaz lógica mediante una lista.
Topología
En este ejemplo se aplican los siguientes filtros de firewall como una lista de filtros de entrada en la interfaz ge-1/3/0.0
lógica. Cada filtro contiene un único término que evalúa los paquetes IPv4 y acepta paquetes en función del valor del destination port
campo en el encabezado TCP:
El filtro
filter_FTP
coincide en el número de puerto FTP (21
).El filtro
filter_SSH
coincide en el número de puerto SSH (22
).El filtro
filter_Telnet
coincide en el número de puerto Telnet (23
).
Si un paquete entrante no coincide con ninguno de los filtros de la lista de entrada, el paquete se descarta.
Junos OS utiliza filtros en una lista en el orden en que aparecen los nombres de filtro en la lista. En este sencillo ejemplo, el orden es irrelevante porque todos los filtros especifican la misma acción.
Cualquiera de los filtros se puede aplicar a otras interfaces, ya sea solo (usando la input
instrucción o output
) o en combinación con otros filtros (usando la input-list
instrucción o output-list
). El objetivo es configurar varios filtros de firewall "minimalistas" que puede reutilizar en listas de filtros específicas de la interfaz.
Configuración
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Usar el editor de CLI en el modo de configuración.
- Configuración rápida de CLI
- Configurar varios filtros de firewall IPv4
- Aplicar los filtros a una interfaz lógica como una lista de entrada y una lista de salida
- Confirme y confirme su configuración candidata
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos en un archivo de texto, quite los saltos de línea y, a continuación, péguelos en la CLI en el nivel de [edit]
jerarquía.
set firewall family inet filter filter_FTP term 0 from protocol tcp set firewall family inet filter filter_FTP term 0 from destination-port 21 set firewall family inet filter filter_FTP term 0 then count pkts_FTP set firewall family inet filter filter_FTP term 0 then accept set firewall family inet filter filter_SSH term 0 from protocol tcp set firewall family inet filter filter_SSH term 0 from destination-port 22 set firewall family inet filter filter_SSH term 0 then count pkts_SSH set firewall family inet filter filter_SSH term 0 then accept set firewall family inet filter filter_Telnet term 0 from protocol tcp set firewall family inet filter filter_Telnet term 0 from destination-port 23 set firewall family inet filter filter_Telnet term 0 then count pkts_Telnet set firewall family inet filter filter_Telnet term 0 then accept set firewall family inet filter filter_discard term 1 then count pkts_discarded set firewall family inet filter filter_discard term 1 then discard set interfaces ge-1/3/0 unit 0 family inet address 172.16.1.2/30 set interfaces ge-1/3/0 unit 0 family inet filter input-list filter_FTP set interfaces ge-1/3/0 unit 0 family inet filter input-list filter_SSH set interfaces ge-1/3/0 unit 0 family inet filter input-list filter_Telnet set interfaces ge-1/3/0 unit 0 family inet filter input-list filter_discard
Configurar varios filtros de firewall IPv4
Procedimiento paso a paso
Para configurar los filtros del firewall IPv4:
Navegue por la CLI hasta el nivel jerárquico en el que configura los filtros de firewall IPv4.
[edit] user@host# edit firewall family inet
Configure el primer filtro de firewall para contar y aceptar paquetes para el puerto 21.
[edit firewall family inet] user@host# set filter filter_FTP term 0 from protocol tcp user@host# set filter filter_FTP term 0 from destination-port 21 user@host# set filter filter_FTP term 0 then count pkts_FTP user@host# set filter filter_FTP term 0 then accept
Configure el segundo filtro de firewall para contar y aceptar paquetes para el puerto 22.
[edit firewall family inet] user@host# set filter filter_SSH term 0 from protocol tcp user@host# set filter filter_SSH term 0 from destination-port 22 user@host# set filter filter_SSH term 0 then count pkt_SSH user@host# set filter filter_SSH term 0 then accept
Configure el tercer filtro de firewall para contar y aceptar paquetes desde el puerto 23.
[edit firewall family inet] user@host# set filter filter_Telnet term 0 from protocol tcp user@host# set filter filter_Telnet term 0 from destination-port 23 user@host# set filter filter_Telnet term 0 then count pkts_Telnet user@host# set filter filter_Telnet term 0 then accept
Configure el último filtro de firewall para contar los paquetes descartados.
[edit firewall family inet] user@host# set filter filter_discard term 1 then count pkts_discarded user@host# set filter filter_discard term 1 then discard
Aplicar los filtros a una interfaz lógica como una lista de entrada y una lista de salida
Procedimiento paso a paso
Para aplicar los seis filtros de firewall IPv4 como una lista de filtros de entrada y una lista de filtros de salida:
Navegue por la CLI hasta el nivel de jerarquía en el que aplica los filtros de firewall IPv4 a la interfaz
ge-1/3/0.0
lógica.[edit] user@host# edit interfaces ge-1/3/0 unit 0 family inet
Configure la familia de protocolos IPv4 para la interfaz lógica.
[edit interfaces ge-1/3/0 unit 0 family inet] user@host# set address 172.16.1.2/30
Aplique los filtros como una lista de filtros de entrada.
[edit interfaces ge-1/3/0 unit 0 family inet] user@host# set filter input-list [ filter_FTP filter_SSH filter_Telnet filter_discard ]
Confirme y confirme su configuración candidata
Procedimiento paso a paso
Para confirmar y confirmar la configuración del candidato:
Confirme la configuración de los filtros del firewall introduciendo el comando de
show firewall
modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.[edit] user@host# show firewall family inet { filter filter_FTP { term 0 { from { protocol tcp; destination-port 21; } then { count pkts_FTP; accept; } } } filter filter_SSH { term 0 { from { protocol tcp; destination-port 22; } then { count pkts_SSH; accept; } } } filter filter_Telnet { term 0 { from { protocol tcp; destination-port 23; } then { count pkts_Telnet; accept; } } } filter filter_discard { term 1 { then { count pkts_discarded; discard; } } } }
Confirme la configuración de la interfaz introduciendo el comando de
show interfaces
modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.[edit] user@host# show interfaces ge-1/3/0 { unit 0 { family inet { filter { input-list [ filter_FTP filter_SSH filter_Telnet filter_discard ]; } address 172.16.1.2/30; } } }
Si ha terminado de configurar el dispositivo, confirme la configuración candidata.
[edit] user@host# commit
Verificación
Confirme que la configuración funcione correctamente.
Comprobación de que los paquetes entrantes solo se aceptan si están destinados al puerto FTP, SSH o Telnet
Propósito
Compruebe que los tres filtros estén activos para la interfaz lógica.
Acción
Para comprobar que los paquetes de entrada se aceptan de acuerdo con los tres filtros:
Desde el host remoto que está conectado a la interfaz
ge-1/3/0.0
lógica de este enrutador (o conmutador), envíe un paquete con el número de puerto de destino 21 en el encabezado. El paquete debe ser aceptado.Desde el host remoto que está conectado a la interfaz
ge-1/3/0.0
lógica de este enrutador (o conmutador), envíe un paquete con el número de puerto de destino 22 en el encabezado. El paquete debe ser aceptado.Desde el host remoto que está conectado a la interfaz
ge-1/3/0.0
lógica de este enrutador (o conmutador), envíe un paquete con el número de puerto de destino 23 en el encabezado. El paquete debe ser aceptado.Desde el host remoto que está conectado a la interfaz
ge-1/3/0.0
lógica de este enrutador (o conmutador), envíe un paquete con un número de puerto de destino distinto del 21, 22 o 23. El paquete debe ser desechado.-
Para mostrar información del contador para la lista de filtros aplicados a la entrada en
ge-1/3/0.0
, ingrese el comando delshow firewall filter ge-1/3/0.0-inet-i
modo operativo. El resultado del comando muestra el número de bytes y paquetes que coinciden con los términos de filtro asociados con los siguientes contadores:-
pkts_FTP-ge-1/3/0.0-inet-i
-
pkts_SSH-ge-1/3/0.0-inet-i
-
pkts_Telnet-ge-1/3/0.0-inet-i
-
pkts_discard-ge-1/3/0.0-inet-i
-