EN ESTA PÁGINA
Ejemplo: Aplicación de listas de varios filtros de firewall
En este ejemplo, se muestra cómo aplicar listas de varios filtros de firewall.
Requisitos
Antes de comenzar, asegúrese de que tiene lo siguiente:
Instaló su enrutador o conmutador, y compatible con PIC, DPC o MPC, y realizó la configuración inicial del enrutador o conmutador.
Configuración de Ethernet básica en la topología.
Configuré una interfaz lógica para ejecutar el protocolo IP versión 4 (IPv4) () y
family inetconfiguró la interfaz lógica con una dirección de interfaz. En este ejemplo, se usa una interfazge-1/3/0.0lógica configurada con la dirección IP 172.16.1.2/30.Nota:Para que sea completa, la sección de configuración de este ejemplo incluye establecer una dirección IP para la interfaz
ge-1/3/0.0lógica.Verificado que el tráfico fluye en la topología y que el tráfico IPv4 de entrada y salida fluye a través de la interfaz
ge-1/3/0.0lógica.Verificado que tiene acceso al host remoto que está conectado a la interfaz
ge-1/3/0.0lógica de este enrutador o conmutador.
Descripción general
En este ejemplo, se configuran tres filtros de firewall IPv4 y se aplica cada filtro directamente a la misma interfaz lógica mediante una lista.
Topología
En este ejemplo, se aplican los siguientes filtros de firewall como una lista de filtros de entrada en la interfaz ge-1/3/0.0lógica. Cada filtro contiene un solo término que evalúa los paquetes IPv4 y acepta paquetes según el valor del destination port campo en el encabezado TCP:
Coincidencias de filtro
filter_FTPen el número de puerto FTP (21).Coincidencias de filtro
filter_SSHen el número de puerto SSH (22).Coincidencias de filtro
filter_Telneten el número de puerto Telnet (23).
Si un paquete entrante no coincide con ninguno de los filtros de la lista de entradas, el paquete se descarta.
Junos OS usa filtros en una lista en el orden en el que los nombres de filtro aparecen en la lista. En este simple ejemplo, el orden no tiene importancia, ya que todos los filtros especifican la misma acción.
Cualquiera de los filtros se puede aplicar a otras interfaces, ya sea solo (mediante la input instrucción or output ) o en combinación con otros filtros (mediante la input-list instrucción o output-list ). El objetivo es configurar varios filtros de firewall "minimalistas" que se pueden reutilizar en listas de filtros específicas de interfaz.
Configuración
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener más información acerca de cómo navegar por la CLI, consulte Usar el Editor de CLI en modo de configuración.
- Configuración rápida de CLI
- Configurar varios filtros de firewall IPv4
- Aplicar los filtros a una interfaz lógica como una lista de entrada y una lista de salida
- Confirme y confirme la configuración de su candidato
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos en un archivo de texto, elimine los saltos de línea y, a continuación, pegue los comandos en la CLI en el [edit] nivel de jerarquía.
set firewall family inet filter filter_FTP term 0 from protocol tcp set firewall family inet filter filter_FTP term 0 from destination-port 21 set firewall family inet filter filter_FTP term 0 then count pkts_FTP set firewall family inet filter filter_FTP term 0 then accept set firewall family inet filter filter_SSH term 0 from protocol tcp set firewall family inet filter filter_SSH term 0 from destination-port 22 set firewall family inet filter filter_SSH term 0 then count pkts_SSH set firewall family inet filter filter_SSH term 0 then accept set firewall family inet filter filter_Telnet term 0 from protocol tcp set firewall family inet filter filter_Telnet term 0 from destination-port 23 set firewall family inet filter filter_Telnet term 0 then count pkts_Telnet set firewall family inet filter filter_Telnet term 0 then accept set firewall family inet filter filter_discard term 1 then count pkts_discarded set firewall family inet filter filter_discard term 1 then discard set interfaces ge-1/3/0 unit 0 family inet address 172.16.1.2/30 set interfaces ge-1/3/0 unit 0 family inet filter input-list filter_FTP set interfaces ge-1/3/0 unit 0 family inet filter input-list filter_SSH set interfaces ge-1/3/0 unit 0 family inet filter input-list filter_Telnet set interfaces ge-1/3/0 unit 0 family inet filter input-list filter_discard
Configurar varios filtros de firewall IPv4
Procedimiento paso a paso
Para configurar los filtros de firewall IPv4:
Navegue la CLI al nivel de jerarquía en el que configure los filtros de firewall IPv4.
[edit] user@host# edit firewall family inet
Configure el primer filtro de firewall para que cuente y acepte paquetes para el puerto 21.
[edit firewall family inet] user@host# set filter filter_FTP term 0 from protocol tcp user@host# set filter filter_FTP term 0 from destination-port 21 user@host# set filter filter_FTP term 0 then count pkts_FTP user@host# set filter filter_FTP term 0 then accept
Configure el segundo filtro de firewall para contar y aceptar paquetes para el puerto 22.
[edit firewall family inet] user@host# set filter filter_SSH term 0 from protocol tcp user@host# set filter filter_SSH term 0 from destination-port 22 user@host# set filter filter_SSH term 0 then count pkt_SSH user@host# set filter filter_SSH term 0 then accept
Configure el tercer filtro de firewall para contar y aceptar paquetes del puerto 23.
[edit firewall family inet] user@host# set filter filter_Telnet term 0 from protocol tcp user@host# set filter filter_Telnet term 0 from destination-port 23 user@host# set filter filter_Telnet term 0 then count pkts_Telnet user@host# set filter filter_Telnet term 0 then accept
Configure el último filtro de firewall para contar los paquetes descartados.
[edit firewall family inet] user@host# set filter filter_discard term 1 then count pkts_discarded user@host# set filter filter_discard term 1 then discard
Aplicar los filtros a una interfaz lógica como una lista de entrada y una lista de salida
Procedimiento paso a paso
Para aplicar los seis filtros de firewall IPv4 como una lista de filtros de entrada y una lista de filtros de salida:
Navegue la CLI hasta el nivel de jerarquía en el que aplica filtros de firewall IPv4 a la interfaz
ge-1/3/0.0lógica.[edit] user@host# edit interfaces ge-1/3/0 unit 0 family inet
Configure la familia de protocolos IPv4 para la interfaz lógica.
[edit interfaces ge-1/3/0 unit 0 family inet] user@host# set address 172.16.1.2/30
Aplique los filtros como una lista de filtros de entrada.
[edit interfaces ge-1/3/0 unit 0 family inet] user@host# set filter input-list [ filter_FTP filter_SSH filter_Telnet filter_discard ]
Confirme y confirme la configuración de su candidato
Procedimiento paso a paso
Para confirmar y, luego, confirmar la configuración de su candidato:
Para confirmar la configuración de los filtros de firewall, ingrese al comando del modo de
show firewallconfiguración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.[edit] user@host# show firewall family inet { filter filter_FTP { term 0 { from { protocol tcp; destination-port 21; } then { count pkts_FTP; accept; } } } filter filter_SSH { term 0 { from { protocol tcp; destination-port 22; } then { count pkts_SSH; accept; } } } filter filter_Telnet { term 0 { from { protocol tcp; destination-port 23; } then { count pkts_Telnet; accept; } } } filter filter_discard { term 1 { then { count pkts_discarded; discard; } } } }Confirme la configuración de la interfaz ingresando el comando de modo de
show interfacesconfiguración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.[edit] user@host# show interfaces ge-1/3/0 { unit 0 { family inet { filter { input-list [ filter_FTP filter_SSH filter_Telnet filter_discard ]; } address 172.16.1.2/30; } } }Si ha terminado de configurar el dispositivo, confirme la configuración del candidato.
[edit] user@host# commit
Verificación
Confirme que la configuración funciona correctamente.
Verificar que los paquetes entrantes solo se acepten si están destinados al puerto FTP, SSH o Telnet
Propósito
Compruebe que los tres filtros estén activos para la interfaz lógica.
Acción
Para comprobar que se aceptan paquetes de entrada según los tres filtros:
Desde el host remoto que está conectado a la interfaz
ge-1/3/0.0lógica de este enrutador (o conmutador), envíe un paquete con el puerto de destino número 21 en el encabezado. El paquete debe ser aceptado.Desde el host remoto que está conectado a la interfaz
ge-1/3/0.0lógica de este enrutador (o conmutador), envíe un paquete con el puerto de destino número 22 en el encabezado. El paquete debe ser aceptado.Desde el host remoto que está conectado a la interfaz
ge-1/3/0.0lógica de este enrutador (o conmutador), envíe un paquete con el puerto de destino número 23 en el encabezado. El paquete debe ser aceptado.Desde el host remoto que está conectado a la interfaz
ge-1/3/0.0lógica de este enrutador (o conmutador), envíe un paquete con un número de puerto de destino distinto al 21, 22 o 23. El paquete debe descartarse.-
Para mostrar información de contador para la lista de filtros aplicados a la entrada en ingrese el
ge-1/3/0.0comando delshow firewall filter ge-1/3/0.0-inet-imodo operativo. El resultado del comando muestra la cantidad de bytes y paquetes que coinciden con términos de filtro asociados con los contadores siguientes:-
pkts_FTP-ge-1/3/0.0-inet-i -
pkts_SSH-ge-1/3/0.0-inet-i -
pkts_Telnet-ge-1/3/0.0-inet-i -
pkts_discard-ge-1/3/0.0-inet-i
-