EN ESTA PÁGINA
Ejemplo: Configurar un filtro para contar paquetes aceptados y rechazados
En este ejemplo, se muestra cómo configurar un filtro de firewall para contar paquetes.
Requisitos
No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.
Descripción general
En este ejemplo, se utiliza un filtro de firewall sin estado para rechazar todas las direcciones, excepto 192.168.5.0/24.
Topología
En el primer término, la condición address 192.168.5.0/24 except de coincidencia hace que esta dirección se considere una discordancia y esta dirección se pasa al término siguiente en el filtro. La condición address 0.0.0.0/0 de coincidencia coincide con todos los demás paquetes, y estos se cuentan, registran y se rechazan.
En el segundo término, todos los paquetes que pasaron por el primer término (es decir, paquetes cuya dirección coincide 192.168.5.0/24) se cuentan, se registran y se aceptan.
Configuración
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener más información acerca de cómo navegar por la CLI, consulte Usar el Editor de CLI en modo de configuración.
Para configurar este ejemplo, realice las siguientes tareas:
- Configuración rápida de CLI
- Configurar el filtro de firewall sin estado
- Aplicar el filtro de firewall sin estado a una interfaz lógica
- Confirme y confirme la configuración de su candidato
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos de configuración en un archivo de texto, elimine los saltos de línea y, a continuación, pegue los comandos en la CLI en el [edit] nivel de jerarquía.
set firewall family inet filter fire1 term 1 from address 192.168.5.0/24 except set firewall family inet filter fire1 term 1 from address 0.0.0.0/0 set firewall family inet filter fire1 term 1 then count reject_pref1_1 set firewall family inet filter fire1 term 1 then log set firewall family inet filter fire1 term 1 then reject set firewall family inet filter fire1 term 2 then count reject_pref1_2 set firewall family inet filter fire1 term 2 then log set firewall family inet filter fire1 term 2 then accept set interfaces ge-0/0/1 unit 0 family inet filter input fire1 set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30
Configurar el filtro de firewall sin estado
Procedimiento paso a paso
Para configurar el filtro de firewall sin estado fire1:
Cree el filtro de firewall sin estado
fire1.[edit] user@host# edit firewall family inet filter fire1
Configure el primer término para rechazar todas las direcciones, excepto las del prefijo o desde
192.168.5.0/24el prefijo, y, luego, cuente, registre y rechace todos los demás paquetes.[edit firewall family inet filter fire1] user@host# set term 1 from address 192.168.5.0/24 except user@host# set term 1 from address 0.0.0.0/0 user@host# set term 1 then count reject_pref1_1 user@host# set term 1 then log user@host# set term 1 then reject
Configure el siguiente término para contar, registrar y aceptar paquetes en el
192.168.5.0/24prefijo.[edit firewall family inet filter fire1] user@host# set term 2 then count reject_pref1_2 user@host# set term 2 then log user@host# set term 2 then accept
Aplicar el filtro de firewall sin estado a una interfaz lógica
Procedimiento paso a paso
Para aplicar el filtro de firewall sin estado a una interfaz lógica:
Configure la interfaz lógica a la que aplicará el filtro de firewall sin estado.
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
Configure la dirección de interfaz para la interfaz lógica.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
Aplique el filtro de firewall sin estado a la interfaz lógica.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input fire1
Confirme y confirme la configuración de su candidato
Procedimiento paso a paso
Para confirmar y, luego, confirmar la configuración de su candidato:
Para confirmar la configuración del filtro de firewall sin estado, ingrese el comando del modo de
show firewallconfiguración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.[edit] user@host# show firewall family inet { filter fire1 { term 1 { from { address { 192.168.5.0/24 except; 0.0.0.0/0; } } then { count reject_pref1_1; log; reject; } } term 2 { then { count reject_pref1_2; log; accept; } } } }Confirme la configuración de la interfaz ingresando el comando de modo de
show interfacesconfiguración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { filter { input fire1; } address 10.1.2.3/30; } } }Si ha terminado de configurar el dispositivo, confirme la configuración del candidato.
[edit] user@host# commit
Verificación
Para confirmar que la configuración funciona correctamente, ingrese el comando de show firewall filter fire1 modo operativo. También puede mostrar el registro y los contadores individuales por separado mediante los siguientes formularios del comando:
show firewall counter reject_pref1_1show firewall counter reject_pref1_2