EN ESTA PÁGINA
Ejemplo: Configuración de un filtro de firewall sin estado en un grupo de interfaces
Los filtros de firewall son esenciales para proteger una red y simplificar su administración. En Junos OS, puede configurar filtros de firewall sin estado para controlar el tránsito de paquetes de datos a través del sistema y manipular paquetes según sea necesario. La aplicación de un filtro de firewall sin estado a un grupo de interfaces ayuda a filtrar los paquetes que transitan por cada interfaz del grupo de interfaces. En este ejemplo se muestra cómo configurar un filtro de firewall sin estado estándar para que coincida con los paquetes etiquetados para un grupo de interfaz determinado.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Dos enrutadores o conmutadores de Juniper Networks que estén física o lógicamente conectados entre sí a través de interfaces que pertenecen a una instancia de enrutamiento
Junos OS versión 7.4 o posterior
Descripción general
Puede aplicar un filtro de firewall sin estado a un grupo de interfaces para aplicarlo en todas las interfaces del grupo de interfaces. Esto le ayuda a administrar el filtrado de paquetes en varias interfaces simultáneamente.
En este ejemplo, se configuran dos interfaces de enrutador o conmutador para que pertenezcan al grupo de interfaces. También puede configurar un filtro de firewall sin estado con tres términos. En términos term1, el filtro hace coincidir los paquetes que se han etiquetado como recibidos en ese grupo de interfaz y contienen una etiqueta de protocolo ICMP. El filtro cuenta, registra y rechaza los paquetes que coinciden con las condiciones. En término term2, el filtro coincide con los paquetes que contienen la etiqueta de protocolo ICMP. El filtro cuenta, registra y acepta todos los paquetes que coincidan con la condición. En términos term3, el filtro cuenta todos los paquetes de tránsito.
Al aplicar el filtro de firewall a la instancia de enrutamiento, puede aplicar simultáneamente el mecanismo de filtrado en todas las interfaces del grupo de interfaces. Para que esto suceda, todas las interfaces del grupo de interfaces deben pertenecer a una única instancia de enrutamiento.
Cuando se aplica un filtro de firewall a una interfaz de circuito cerrado, la interfaz filtra todos los paquetes destinados al motor de enrutamiento.
La configuración rápida de CLI muestra la configuración de todos los dispositivos en Figura 1. La sección Procedimiento paso a paso describe los pasos del dispositivo R1.
Configuración
- Configuración rápida de CLI
- Configurar y aplicar el filtro de firewall sin estado en un grupo de interfaces
- Resultados
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.
Dispositivo R0
set interfaces ge-0/0/0 unit 0 family inet address 172.16.17.1/30 set interfaces ge-0/0/1 unit 0 family inet address 172.16.19.1/30 set interfaces ge-0/0/2 unit 0 family inet address 20.1.1.1/30 set interfaces lo0 unit 0 family inet address 10.0.0.1/32
Dispositivo R1
set firewall family inet filter filter_if_group term term1 from interface-group 1 set firewall family inet filter filter_if_group term term1 from protocol icmp set firewall family inet filter filter_if_group term term1 then count if_group_counter1 set firewall family inet filter filter_if_group term term1 then log set firewall family inet filter filter_if_group term term1 then reject set firewall family inet filter filter_if_group term term2 from protocol icmp set firewall family inet filter filter_if_group term term2 then count if_group_counter2 set firewall family inet filter filter_if_group term term2 then log set firewall family inet filter filter_if_group term term2 then accept set firewall family inet filter filter_if_group term term3 then count default set interfaces ge-0/0/0 unit 0 family inet filter group 1 set interfaces ge-0/0/0 unit 0 family inet address 172.16.17.2/30 set interfaces ge-0/0/1 unit 0 family inet address 172.16.19.2/30 set interfaces ge-0/0/2 unit 0 family inet filter group 1 set interfaces ge-0/0/2 unit 0 family inet address 20.1.1.2/30 set interfaces lo0 unit 0 family inet address 20.0.0.1/32 set forwarding-options family inet filter input filter_if_group
Configurar y aplicar el filtro de firewall sin estado en un grupo de interfaces
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Usar el editor de CLI en el modo de configuración la Guía del usuario de la CLI.
Para configurar el filtro filter_if_group de firewall sin estado en un grupo de interfaces:
Cree el filtro
filter_if_groupde firewall sin estado.[edit firewall] user@R1# edit family inet filter filter_if_group
Configure las interfaces y asigne dos interfaces al grupo
1de interfaces .[edit interfaces] user@R1# set ge-0/0/0 unit 0 family inet filter group 1 user@R1# set ge-0/0/0 unit 0 family inet address 172.16.17.2/30 user@R1# set ge 0/0/1 unit 0 family inet address 172.16.19.2/30 user@R1# set ge-0/0/2 unit 0 family inet filter group 1 user@R1# set ge-0/0/2 unit 0 family inet address 20.1.1.2/30 user@R1# set lo0 unit 0 family inet address 20.0.0.1/32
Configure el término
term1para que coincida con los paquetes recibidos en el grupo1de interfaces y con el protocolo ICMP.[edit firewall] user@R1# set family inet filter filter_if_group term term1 from interface-group 1 user@R1# set family inet filter filter_if_group term term1 from protocol icmp
Configure el término
term1para contar, registrar y rechazar todos los paquetes coincidentes.[edit firewall] user@R1# set family inet filter filter_if_group term term1 then count if_group_counter1 user@R1# set family inet filter filter_if_group term term1 then log user@R1# set family inet filter filter_if_group term term1 then reject
Configure el término
term2para que los paquetes coincidan con el protocolo ICMP.[edit firewall] user@R1# set family inet filter filter_if_group term term2 from protocol icmp
Configure el término
term2para contar, registrar y aceptar todos los paquetes coincidentes.[edit firewall] user@R1# set family inet filter filter_if_group term term2 then count if_group_counter2 user@R1# set family inet filter filter_if_group term term2 then log user@R1# set family inet filter filter_if_group term term2 then accept
Configure el término
term3para contar todos los paquetes de tránsito.[edit firewall] user@R1# set family inet filter filter_if_group term term3 then count default
Aplique el filtro de firewall al grupo de interfaces del enrutador (o conmutador) aplicándolo a la instancia de enrutamiento.
[edit] user@R1# set forwarding-options family inet filter input filter_if_group
Si ha terminado de configurar el dispositivo, confirme la configuración candidata.
[edit] user@host# commit
Resultados
Desde el modo de configuración, confirme la configuración emitiendo los show interfacescomandos , show firewally show forwarding-options . Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
[edit]
user@R1# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
filter {
group 1;
}
address 172.16.17.2/30;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 172.16.19.2/30;
}
}
}
ge-0/0/2 {
unit 0 {
family inet {
filter {
group 1;
}
address 20.1.1.2/30;
}
}
}
lo0 {
unit 0 {
family inet {
address 20.0.0.1/32;
}
}
}
[edit]
user@R1# show firewall
family inet {
filter filter_if_group {
term term1 {
from {
interface-group 1;
protocol icmp;
}
then {
count if_group_counter1;
log;
reject;
}
}
term term2 {
from {
protocol icmp;
}
then {
count if_group_counter2;
log;
accept;
}
}
term term3 {
then count default;
}
}
}
[edit]
user@R1# show forwarding-options
family inet {
filter {
input filter_if_group;
}
}
Verificación
Confirme que la configuración funcione correctamente.
- Verificación de la configuración de las interfaces
- Verificación de la configuración del filtro de firewall sin estado
Verificación de la configuración de las interfaces
Propósito
Compruebe que las interfaces estén configuradas correctamente.
Acción
Para mostrar el estado de las interfaces, utilice el comando de show interfaces terse modo operativo.
Dispositivo R0
user@R0> show interfaces terse
Interface Admin Link Proto Local Remote
ge-0/0/0 up up
ge-0/0/0.0 up up inet 172.16.17.1/30
multiservice
ge-0/0/1 up up
ge-0/0/1.0 up up inet 172.16.19.1/30
multiservice
ge-0/0/2 up up
ge-0/0/2.0 up up inet 20.1.1.1/30
multiservice
lo0 up up
lo0.0 up up inet 10.0.0.1 --> 0/0Dispositivo R1
user@R1> show interfaces terse
Interface Admin Link Proto Local Remote
ge-0/0/0 up up
ge-0/0/0.0 up up inet 172.16.17.2/30
multiservice
...
ge-0/0/1 up up
ge-0/0/1.0 up up inet 172.16.19.2/30
multiservice
ge-0/0/2 up up
ge-0/0/2.0 up up inet 20.1.1.2/30
multiservice
...Significado
Todas las interfaces de los dispositivos R0 y R1 están conectadas físicamente y activas. El grupo 1 de interfaces del dispositivo R1 consta de dos interfaces, ge-0/0/0.0 y ge-0/0/2.0.
Verificación de la configuración del filtro de firewall sin estado
Propósito
Compruebe que las condiciones de coincidencia del filtro del firewall estén configuradas correctamente.
Acción
Para mostrar los contadores de filtro del firewall, ingrese el comando del
show firewall filter filter_if_groupmodo operativo.user@R1> show firewall filter filter_if_group Filter: filter_if_group Counters: Name Bytes Packets default 192975 3396 if_group_counter1 2520 30 if_group_counter2 2604 41
Para mostrar el registro local de encabezados de paquetes para paquetes evaluados por el filtro de firewall, ingrese el comando de
show firewall logmodo operativo.user@R1> show firewall log Log : Time Filter Action Interface Protocol Src Addr Dest Addr 22:27:33 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:33 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:32 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:32 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:31 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:31 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:30 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:30 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:29 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:29 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:29 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:21 pfe A ge-0/0/1.0 ICMP 172.16.19.1 172.16.19.2 22:27:20 pfe A ge-0/0/1.0 ICMP 172.16.19.1 172.16.19.2 22:27:19 pfe A ge-0/0/1.0 ICMP 172.16.19.1 172.16.19.2 22:27:18 pfe A ge-0/0/1.0 ICMP 172.16.19.1 172.16.19.2 22:27:04 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:04 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:27:04 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:04 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:27:02 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:02 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:27:01 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:01 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:27:00 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:00 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:24:48 filter_if_group A fxp0.0 ICMP 10.92.16.2 10.92.26.176
Para asegurarse de que los filtros de firewall estén activos en el grupo
1de interfaces del dispositivo R1, utilice el comando deping <address>modo operativo de la CLI del dispositivo R0.user@R0> ping 172.16.17.2 PING 172.16.17.2 (172.16.17.2): 56 data bytes 36 bytes from 172.16.17.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f46b 0 0000 40 01 6239 172.16.17.1 172.16.17.2 36 bytes from 172.16.17.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f479 0 0000 40 01 622b 172.16.17.1 172.16.17.2 36 bytes from 172.16.17.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f487 0 0000 40 01 621d 172.16.17.1 172.16.17.2
user@R0> ping 20.1.1.2 PING 20.1.1.2 (20.1.1.2): 56 data bytes 36 bytes from 20.1.1.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f5bd 0 0000 40 01 5ae7 20.1.1.1 20.1.1.2 36 bytes from 20.1.1.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f5cd 0 0000 40 01 5ad7 20.1.1.1 20.1.1.2 36 bytes from 20.1.1.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f5d9 0 0000 40 01 5acb 20.1.1.1 20.1.1.2 36 bytes from 20.1.1.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f5f6 0 0000 40 01 5aae 20.1.1.1 20.1.1.2
Para asegurarse de que el filtro de firewall no se aplica en una interfaz que no está en el grupo
1de interfaces, use el comando deping <address>modo operativo en la CLI del dispositivo R0.user@R0> ping 172.16.19.2 PING 172.16.19.2 (172.16.19.2): 56 data bytes 64 bytes from 172.16.19.2: icmp_seq=0 ttl=64 time=8.689 ms 64 bytes from 172.16.19.2: icmp_seq=1 ttl=64 time=4.076 ms 64 bytes from 172.16.19.2: icmp_seq=2 ttl=64 time=8.501 ms 64 bytes from 172.16.19.2: icmp_seq=3 ttl=64 time=3.954 ms ...
Significado
El filtro de firewall sin estado se aplica a todas las interfaces del grupo 1de interfaces. El término term1 condición de coincidencia en el filtro de firewall sin estado cuenta, registra y rechaza los paquetes que se reciben o envían desde las interfaces en el grupo 1 de interfaces y con un protocolo ICMP de origen. El término term2 condición de coincidencia coincide con los paquetes etiquetados con el protocolo ICMP y cuenta, registra y acepta esos paquetes. El término term3 condición de coincidencia cuenta todos los paquetes de tránsito.