EN ESTA PÁGINA
Ejemplo: Configurar un filtro de firewall sin estado en un grupo de interfaz
Los filtros de firewall son esenciales para proteger una red y simplificar la administración de red. En Junos OS, puede configurar filtros de firewall sin estado para controlar el tránsito de paquetes de datos a través del sistema y manipular paquetes según sea necesario. La aplicación de un filtro de firewall sin estado a un grupo de interfaz ayuda a filtrar los paquetes que transitan por cada interfaz en el grupo de interfaz. En este ejemplo, se muestra cómo configurar un filtro de firewall estándar sin estado para que coincida con paquetes etiquetados para un grupo de interfaz determinado.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Cualquiera de los dos enrutadores o conmutadores de Juniper Networks que están conectados física o lógicamente entre sí mediante interfaces que pertenecen a una instancia de enrutamiento
Junos OS versión 7.4 o posterior
Descripción general
Puede aplicar un filtro de firewall sin estado a un grupo de interfaz para aplicarlo en todas las interfaces del grupo de interfaz. Esto le ayuda a administrar el filtrado de paquetes en varias interfaces simultáneamente.
En este ejemplo, configure dos interfaces de enrutador o conmutador para que pertenezcan al grupo de interfaz. También configura un filtro de firewall sin estado con tres términos. En término, term1el filtro coincide con los paquetes etiquetados como recibidos en ese grupo de interfaz y contienen una etiqueta de protocolo ICMP. El filtro cuenta, registra y rechaza paquetes que coincidan con las condiciones. En término, term2el filtro coincide con los paquetes que contienen la etiqueta de protocolo ICMP. El filtro cuenta, registra y acepta todos los paquetes que coincidan con la condición. En término, term3el filtro cuenta todos los paquetes de tránsito.
Al aplicar el filtro de firewall a la instancia de enrutamiento, puede aplicar simultáneamente el mecanismo de filtrado en todas las interfaces del grupo de interfaces. Para que esto suceda, todas las interfaces del grupo de interfaces deben pertenecer a una única instancia de enrutamiento.
Cuando se aplica un filtro de firewall a una interfaz de circuito cerrado, la interfaz filtra todos los paquetes destinados al motor de enrutamiento.
La configuración rápida de cli muestra la configuración de todos los dispositivos en Figura 1. La sección Procedimiento paso a paso describe los pasos en el dispositivo R1.
Configuración
- Configuración rápida de CLI
- Configurar y aplicar el filtro de firewall sin estado en un grupo de interfaz
- Resultados
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
Dispositivo R0
set interfaces ge-0/0/0 unit 0 family inet address 172.16.17.1/30 set interfaces ge-0/0/1 unit 0 family inet address 172.16.19.1/30 set interfaces ge-0/0/2 unit 0 family inet address 20.1.1.1/30 set interfaces lo0 unit 0 family inet address 10.0.0.1/32
Dispositivo R1
set firewall family inet filter filter_if_group term term1 from interface-group 1 set firewall family inet filter filter_if_group term term1 from protocol icmp set firewall family inet filter filter_if_group term term1 then count if_group_counter1 set firewall family inet filter filter_if_group term term1 then log set firewall family inet filter filter_if_group term term1 then reject set firewall family inet filter filter_if_group term term2 from protocol icmp set firewall family inet filter filter_if_group term term2 then count if_group_counter2 set firewall family inet filter filter_if_group term term2 then log set firewall family inet filter filter_if_group term term2 then accept set firewall family inet filter filter_if_group term term3 then count default set interfaces ge-0/0/0 unit 0 family inet filter group 1 set interfaces ge-0/0/0 unit 0 family inet address 172.16.17.2/30 set interfaces ge-0/0/1 unit 0 family inet address 172.16.19.2/30 set interfaces ge-0/0/2 unit 0 family inet filter group 1 set interfaces ge-0/0/2 unit 0 family inet address 20.1.1.2/30 set interfaces lo0 unit 0 family inet address 20.0.0.1/32 set forwarding-options family inet filter input filter_if_group
Configurar y aplicar el filtro de firewall sin estado en un grupo de interfaz
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener más información acerca de cómo navegar por la CLI, consulte Usar el Editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar el filtro de firewall sin estado filter_if_group en un grupo de interfaz:
Cree el filtro de firewall sin estado
filter_if_group.[edit firewall] user@R1# edit family inet filter filter_if_group
Configure las interfaces y asigne dos interfaces al grupo
1de interfaces.[edit interfaces] user@R1# set ge-0/0/0 unit 0 family inet filter group 1 user@R1# set ge-0/0/0 unit 0 family inet address 172.16.17.2/30 user@R1# set ge 0/0/1 unit 0 family inet address 172.16.19.2/30 user@R1# set ge-0/0/2 unit 0 family inet filter group 1 user@R1# set ge-0/0/2 unit 0 family inet address 20.1.1.2/30 user@R1# set lo0 unit 0 family inet address 20.0.0.1/32
Configure el término
term1para que coincida con los paquetes recibidos en el grupo1de interfaz y con el protocolo ICMP.[edit firewall] user@R1# set family inet filter filter_if_group term term1 from interface-group 1 user@R1# set family inet filter filter_if_group term term1 from protocol icmp
Configure el término
term1para contar, registrar y rechazar todos los paquetes coincidentes.[edit firewall] user@R1# set family inet filter filter_if_group term term1 then count if_group_counter1 user@R1# set family inet filter filter_if_group term term1 then log user@R1# set family inet filter filter_if_group term term1 then reject
Configure el término
term2para que coincida con paquetes con el protocolo ICMP.[edit firewall] user@R1# set family inet filter filter_if_group term term2 from protocol icmp
Configure el término
term2para contar, registrar y aceptar todos los paquetes coincidentes.[edit firewall] user@R1# set family inet filter filter_if_group term term2 then count if_group_counter2 user@R1# set family inet filter filter_if_group term term2 then log user@R1# set family inet filter filter_if_group term term2 then accept
Configure el término
term3para contar todos los paquetes de tránsito.[edit firewall] user@R1# set family inet filter filter_if_group term term3 then count default
Aplique el filtro de firewall al grupo de interfaz del enrutador (o del conmutador) aplicándole a la instancia de enrutamiento.
[edit] user@R1# set forwarding-options family inet filter input filter_if_group
Si ha terminado de configurar el dispositivo, confirme la configuración del candidato.
[edit] user@host# commit
Resultados
Desde el modo de configuración, confirme su configuración mediante la emisión de los show interfacescomandos , show firewally show forwarding-options . Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
[edit]
user@R1# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
filter {
group 1;
}
address 172.16.17.2/30;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 172.16.19.2/30;
}
}
}
ge-0/0/2 {
unit 0 {
family inet {
filter {
group 1;
}
address 20.1.1.2/30;
}
}
}
lo0 {
unit 0 {
family inet {
address 20.0.0.1/32;
}
}
}
[edit]
user@R1# show firewall
family inet {
filter filter_if_group {
term term1 {
from {
interface-group 1;
protocol icmp;
}
then {
count if_group_counter1;
log;
reject;
}
}
term term2 {
from {
protocol icmp;
}
then {
count if_group_counter2;
log;
accept;
}
}
term term3 {
then count default;
}
}
}
[edit]
user@R1# show forwarding-options
family inet {
filter {
input filter_if_group;
}
}
Verificación
Confirme que la configuración funciona correctamente.
- Verificar la configuración de las interfaces
- Verificar la configuración del filtro de firewall sin estado
Verificar la configuración de las interfaces
Propósito
Compruebe que las interfaces están configuradas correctamente.
Acción
Para mostrar el estado de las interfaces, utilice el comando de show interfaces terse modo operativo.
Dispositivo R0
user@R0> show interfaces terse
Interface Admin Link Proto Local Remote
ge-0/0/0 up up
ge-0/0/0.0 up up inet 172.16.17.1/30
multiservice
ge-0/0/1 up up
ge-0/0/1.0 up up inet 172.16.19.1/30
multiservice
ge-0/0/2 up up
ge-0/0/2.0 up up inet 20.1.1.1/30
multiservice
lo0 up up
lo0.0 up up inet 10.0.0.1 --> 0/0Dispositivo R1
user@R1> show interfaces terse
Interface Admin Link Proto Local Remote
ge-0/0/0 up up
ge-0/0/0.0 up up inet 172.16.17.2/30
multiservice
...
ge-0/0/1 up up
ge-0/0/1.0 up up inet 172.16.19.2/30
multiservice
ge-0/0/2 up up
ge-0/0/2.0 up up inet 20.1.1.2/30
multiservice
...Significado
Todas las interfaces de los dispositivos R0 y R1 están físicamente conectadas y activadas. El grupo 1 de interfaces en el dispositivo R1 consta de dos interfaces, a saber, ge-0/0/0.0 y ge-0/0/2.0.
Verificar la configuración del filtro de firewall sin estado
Propósito
Compruebe que las condiciones del filtro de firewall coincidan correctamente.
Acción
Para mostrar los contadores de filtro de firewall, ingrese el comando de
show firewall filter filter_if_groupmodo operativo.user@R1> show firewall filter filter_if_group Filter: filter_if_group Counters: Name Bytes Packets default 192975 3396 if_group_counter1 2520 30 if_group_counter2 2604 41
Para mostrar el registro local de los encabezados de los paquetes evaluados por el filtro de firewall, ingrese el comando de
show firewall logmodo operativo.user@R1> show firewall log Log : Time Filter Action Interface Protocol Src Addr Dest Addr 22:27:33 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:33 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:32 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:32 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:31 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:31 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:30 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:30 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:29 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:29 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:29 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:21 pfe A ge-0/0/1.0 ICMP 172.16.19.1 172.16.19.2 22:27:20 pfe A ge-0/0/1.0 ICMP 172.16.19.1 172.16.19.2 22:27:19 pfe A ge-0/0/1.0 ICMP 172.16.19.1 172.16.19.2 22:27:18 pfe A ge-0/0/1.0 ICMP 172.16.19.1 172.16.19.2 22:27:04 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:04 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:27:04 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:04 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:27:02 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:02 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:27:01 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:01 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:27:00 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:00 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:24:48 filter_if_group A fxp0.0 ICMP 10.92.16.2 10.92.26.176
Para asegurarse de que los filtros de firewall estén activos en el grupo
1de interfaces del dispositivo R1, utilice elping <address>comando de modo operativo en la CLI del dispositivo R0.user@R0> ping 172.16.17.2 PING 172.16.17.2 (172.16.17.2): 56 data bytes 36 bytes from 172.16.17.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f46b 0 0000 40 01 6239 172.16.17.1 172.16.17.2 36 bytes from 172.16.17.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f479 0 0000 40 01 622b 172.16.17.1 172.16.17.2 36 bytes from 172.16.17.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f487 0 0000 40 01 621d 172.16.17.1 172.16.17.2
user@R0> ping 20.1.1.2 PING 20.1.1.2 (20.1.1.2): 56 data bytes 36 bytes from 20.1.1.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f5bd 0 0000 40 01 5ae7 20.1.1.1 20.1.1.2 36 bytes from 20.1.1.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f5cd 0 0000 40 01 5ad7 20.1.1.1 20.1.1.2 36 bytes from 20.1.1.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f5d9 0 0000 40 01 5acb 20.1.1.1 20.1.1.2 36 bytes from 20.1.1.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f5f6 0 0000 40 01 5aae 20.1.1.1 20.1.1.2
Para asegurarse de que el filtro de firewall no se aplica en una interfaz que no está en el grupo
1de interfaz, utilice elping <address>comando de modo operativo en la CLI del dispositivo R0.user@R0> ping 172.16.19.2 PING 172.16.19.2 (172.16.19.2): 56 data bytes 64 bytes from 172.16.19.2: icmp_seq=0 ttl=64 time=8.689 ms 64 bytes from 172.16.19.2: icmp_seq=1 ttl=64 time=4.076 ms 64 bytes from 172.16.19.2: icmp_seq=2 ttl=64 time=8.501 ms 64 bytes from 172.16.19.2: icmp_seq=3 ttl=64 time=3.954 ms ...
Significado
El filtro de firewall sin estado se aplica a todas las interfaces del grupo 1de interfaz. La condición de coincidencia de términos term1 en el filtro de firewall sin estado cuenta, registra y rechaza paquetes que se reciben en o se envían desde las interfaces del grupo 1 de interfaz y con un protocolo ICMP de origen. El término term2 condición de coincidencia coincide con los paquetes etiquetados con el protocolo ICMP y cuenta, registra y acepta esos paquetes. La condición de coincidencia de términos term3 cuenta todos los paquetes de tránsito.