EN ESTA PÁGINA
Ejemplo: Configuración de un filtro de firewall sin estado en un grupo de interfaces
Los filtros de firewall son esenciales para proteger una red y simplificar su administración. En Junos OS, puede configurar filtros de firewall sin estado para controlar el tránsito de paquetes de datos a través del sistema y manipular paquetes según sea necesario. La aplicación de un filtro de firewall sin estado a un grupo de interfaces ayuda a filtrar los paquetes que transitan por cada interfaz del grupo de interfaces. En este ejemplo se muestra cómo configurar un filtro de firewall sin estado estándar para que coincida con los paquetes etiquetados para un grupo de interfaz determinado.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Dos enrutadores o conmutadores de Juniper Networks que estén física o lógicamente conectados entre sí a través de interfaces que pertenecen a una instancia de enrutamiento
Junos OS versión 7.4 o posterior
Descripción general
Puede aplicar un filtro de firewall sin estado a un grupo de interfaces para aplicarlo en todas las interfaces del grupo de interfaces. Esto le ayuda a administrar el filtrado de paquetes en varias interfaces simultáneamente.
En este ejemplo, se configuran dos interfaces de enrutador o conmutador para que pertenezcan al grupo de interfaces. También puede configurar un filtro de firewall sin estado con tres términos. En términos , el filtro hace coincidir los paquetes que se han etiquetado como recibidos en ese grupo term1de interfaz y contienen una etiqueta de protocolo ICMP. El filtro cuenta, registra y rechaza los paquetes que coinciden con las condiciones. En término , el filtro coincide con los paquetes que contienen la etiqueta de protocolo ICMP.term2 El filtro cuenta, registra y acepta todos los paquetes que coincidan con la condición. En términos , el filtro cuenta todos los paquetes de tránsito.term3
Al aplicar el filtro de firewall a la instancia de enrutamiento, puede aplicar simultáneamente el mecanismo de filtrado en todas las interfaces del grupo de interfaces. Para que esto suceda, todas las interfaces del grupo de interfaces deben pertenecer a una única instancia de enrutamiento.
Cuando se aplica un filtro de firewall a una interfaz de circuito cerrado, la interfaz filtra todos los paquetes destinados al motor de enrutamiento.
La configuración rápida de CLI muestra la configuración de todos los dispositivos en .Figura 1 La sección Procedimiento paso a paso describe los pasos del dispositivo R1.
Configuración
- Configuración rápida de CLI
- Configurar y aplicar el filtro de firewall sin estado en un grupo de interfaces
- Resultados
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.
Dispositivo R0
set interfaces ge-0/0/0 unit 0 family inet address 172.16.17.1/30 set interfaces ge-0/0/1 unit 0 family inet address 172.16.19.1/30 set interfaces ge-0/0/2 unit 0 family inet address 20.1.1.1/30 set interfaces lo0 unit 0 family inet address 10.0.0.1/32
Dispositivo R1
set firewall family inet filter filter_if_group term term1 from interface-group 1 set firewall family inet filter filter_if_group term term1 from protocol icmp set firewall family inet filter filter_if_group term term1 then count if_group_counter1 set firewall family inet filter filter_if_group term term1 then log set firewall family inet filter filter_if_group term term1 then reject set firewall family inet filter filter_if_group term term2 from protocol icmp set firewall family inet filter filter_if_group term term2 then count if_group_counter2 set firewall family inet filter filter_if_group term term2 then log set firewall family inet filter filter_if_group term term2 then accept set firewall family inet filter filter_if_group term term3 then count default set interfaces ge-0/0/0 unit 0 family inet filter group 1 set interfaces ge-0/0/0 unit 0 family inet address 172.16.17.2/30 set interfaces ge-0/0/1 unit 0 family inet address 172.16.19.2/30 set interfaces ge-0/0/2 unit 0 family inet filter group 1 set interfaces ge-0/0/2 unit 0 family inet address 20.1.1.2/30 set interfaces lo0 unit 0 family inet address 20.0.0.1/32 set forwarding-options family inet filter input filter_if_group
Configurar y aplicar el filtro de firewall sin estado en un grupo de interfaces
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte la Guía del usuario de la CLI.Usar el editor de CLI en el modo de configuraciónhttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html
Para configurar el filtro de firewall sin estado en un grupo de interfaces:filter_if_group
Cree el filtro de firewall sin estado.
filter_if_group[edit firewall] user@R1# edit family inet filter filter_if_group
Configure las interfaces y asigne dos interfaces al grupo de interfaces .
1[edit interfaces] user@R1# set ge-0/0/0 unit 0 family inet filter group 1 user@R1# set ge-0/0/0 unit 0 family inet address 172.16.17.2/30 user@R1# set ge 0/0/1 unit 0 family inet address 172.16.19.2/30 user@R1# set ge-0/0/2 unit 0 family inet filter group 1 user@R1# set ge-0/0/2 unit 0 family inet address 20.1.1.2/30 user@R1# set lo0 unit 0 family inet address 20.0.0.1/32
Configure el término para que coincida con los paquetes recibidos en el grupo de interfaces y con el protocolo ICMP.
term11[edit firewall] user@R1# set family inet filter filter_if_group term term1 from interface-group 1 user@R1# set family inet filter filter_if_group term term1 from protocol icmp
Configure el término para contar, registrar y rechazar todos los paquetes coincidentes.
term1[edit firewall] user@R1# set family inet filter filter_if_group term term1 then count if_group_counter1 user@R1# set family inet filter filter_if_group term term1 then log user@R1# set family inet filter filter_if_group term term1 then reject
Configure el término para que los paquetes coincidan con el protocolo ICMP.
term2[edit firewall] user@R1# set family inet filter filter_if_group term term2 from protocol icmp
Configure el término para contar, registrar y aceptar todos los paquetes coincidentes.
term2[edit firewall] user@R1# set family inet filter filter_if_group term term2 then count if_group_counter2 user@R1# set family inet filter filter_if_group term term2 then log user@R1# set family inet filter filter_if_group term term2 then accept
Configure el término para contar todos los paquetes de tránsito.
term3[edit firewall] user@R1# set family inet filter filter_if_group term term3 then count default
Aplique el filtro de firewall al grupo de interfaces del enrutador (o conmutador) aplicándolo a la instancia de enrutamiento.
[edit] user@R1# set forwarding-options family inet filter input filter_if_group
Si ha terminado de configurar el dispositivo, confirme la configuración candidata.
[edit] user@host# commit
Resultados
Desde el modo de configuración, confirme la configuración emitiendo los comandos , y .show interfacesshow firewallshow forwarding-options Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
[edit]
user@R1# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
filter {
group 1;
}
address 172.16.17.2/30;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 172.16.19.2/30;
}
}
}
ge-0/0/2 {
unit 0 {
family inet {
filter {
group 1;
}
address 20.1.1.2/30;
}
}
}
lo0 {
unit 0 {
family inet {
address 20.0.0.1/32;
}
}
}
[edit]
user@R1# show firewall
family inet {
filter filter_if_group {
term term1 {
from {
interface-group 1;
protocol icmp;
}
then {
count if_group_counter1;
log;
reject;
}
}
term term2 {
from {
protocol icmp;
}
then {
count if_group_counter2;
log;
accept;
}
}
term term3 {
then count default;
}
}
}
[edit]
user@R1# show forwarding-options
family inet {
filter {
input filter_if_group;
}
}
Verificación
Confirme que la configuración funcione correctamente.
- Verificación de la configuración de las interfaces
- Verificación de la configuración del filtro de firewall sin estado
Verificación de la configuración de las interfaces
Propósito
Compruebe que las interfaces estén configuradas correctamente.
Acción
Para mostrar el estado de las interfaces, utilice el comando de modo operativo.show interfaces terse
Dispositivo R0
user@R0> show interfaces terse
Interface Admin Link Proto Local Remote
ge-0/0/0 up up
ge-0/0/0.0 up up inet 172.16.17.1/30
multiservice
ge-0/0/1 up up
ge-0/0/1.0 up up inet 172.16.19.1/30
multiservice
ge-0/0/2 up up
ge-0/0/2.0 up up inet 20.1.1.1/30
multiservice
lo0 up up
lo0.0 up up inet 10.0.0.1 --> 0/0Dispositivo R1
user@R1> show interfaces terse
Interface Admin Link Proto Local Remote
ge-0/0/0 up up
ge-0/0/0.0 up up inet 172.16.17.2/30
multiservice
...
ge-0/0/1 up up
ge-0/0/1.0 up up inet 172.16.19.2/30
multiservice
ge-0/0/2 up up
ge-0/0/2.0 up up inet 20.1.1.2/30
multiservice
...Significado
Todas las interfaces de los dispositivos R0 y R1 están conectadas físicamente y activas. El grupo de interfaces del dispositivo R1 consta de dos interfaces, ge-0/0/0.0 y ge-0/0/2.0.1
Verificación de la configuración del filtro de firewall sin estado
Propósito
Compruebe que las condiciones de coincidencia del filtro del firewall estén configuradas correctamente.
Acción
Para mostrar los contadores de filtro del firewall, ingrese el comando del modo operativo.
show firewall filter filter_if_groupuser@R1> show firewall filter filter_if_group Filter: filter_if_group Counters: Name Bytes Packets default 192975 3396 if_group_counter1 2520 30 if_group_counter2 2604 41
Para mostrar el registro local de encabezados de paquetes para paquetes evaluados por el filtro de firewall, ingrese el comando de modo operativo.
show firewall loguser@R1> show firewall log Log : Time Filter Action Interface Protocol Src Addr Dest Addr 22:27:33 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:33 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:32 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:32 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:31 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:31 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:30 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:30 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:29 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:29 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:29 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:21 pfe A ge-0/0/1.0 ICMP 172.16.19.1 172.16.19.2 22:27:20 pfe A ge-0/0/1.0 ICMP 172.16.19.1 172.16.19.2 22:27:19 pfe A ge-0/0/1.0 ICMP 172.16.19.1 172.16.19.2 22:27:18 pfe A ge-0/0/1.0 ICMP 172.16.19.1 172.16.19.2 22:27:04 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:04 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:27:04 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:04 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:27:02 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:02 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:27:01 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:01 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:27:00 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:00 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:24:48 filter_if_group A fxp0.0 ICMP 10.92.16.2 10.92.26.176
Para asegurarse de que los filtros de firewall estén activos en el grupo de interfaces del dispositivo R1, utilice el comando de modo operativo de la CLI del dispositivo R0.
1ping <address>user@R0> ping 172.16.17.2 PING 172.16.17.2 (172.16.17.2): 56 data bytes 36 bytes from 172.16.17.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f46b 0 0000 40 01 6239 172.16.17.1 172.16.17.2 36 bytes from 172.16.17.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f479 0 0000 40 01 622b 172.16.17.1 172.16.17.2 36 bytes from 172.16.17.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f487 0 0000 40 01 621d 172.16.17.1 172.16.17.2
user@R0> ping 20.1.1.2 PING 20.1.1.2 (20.1.1.2): 56 data bytes 36 bytes from 20.1.1.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f5bd 0 0000 40 01 5ae7 20.1.1.1 20.1.1.2 36 bytes from 20.1.1.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f5cd 0 0000 40 01 5ad7 20.1.1.1 20.1.1.2 36 bytes from 20.1.1.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f5d9 0 0000 40 01 5acb 20.1.1.1 20.1.1.2 36 bytes from 20.1.1.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f5f6 0 0000 40 01 5aae 20.1.1.1 20.1.1.2
Para asegurarse de que el filtro de firewall no se aplica en una interfaz que no está en el grupo de interfaces, use el comando de modo operativo en la CLI del dispositivo R0.
1ping <address>user@R0> ping 172.16.19.2 PING 172.16.19.2 (172.16.19.2): 56 data bytes 64 bytes from 172.16.19.2: icmp_seq=0 ttl=64 time=8.689 ms 64 bytes from 172.16.19.2: icmp_seq=1 ttl=64 time=4.076 ms 64 bytes from 172.16.19.2: icmp_seq=2 ttl=64 time=8.501 ms 64 bytes from 172.16.19.2: icmp_seq=3 ttl=64 time=3.954 ms ...
Significado
El filtro de firewall sin estado se aplica a todas las interfaces del grupo de interfaces.1 El término condición de coincidencia en el filtro de firewall sin estado cuenta, registra y rechaza los paquetes que se reciben o envían desde las interfaces en el grupo de interfaces y con un protocolo ICMP de origen.term11 El término condición de coincidencia coincide con los paquetes etiquetados con el protocolo ICMP y cuenta, registra y acepta esos paquetes.term2 El término condición de coincidencia cuenta todos los paquetes de tránsito.term3