EN ESTA PÁGINA
Ejemplo: Configurar un filtro para aceptar paquetes basados en marcas TCP IPv6
En este ejemplo, se muestra cómo configurar un filtro de firewall estándar sin estado para aceptar paquetes de un origen de confianza.
Requisitos
No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.
Descripción general
En este ejemplo, se crea un filtro que acepta paquetes con indicadores TCP IPv6 específicos.
Configuración
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener más información acerca de cómo navegar por la CLI, consulte Usar el Editor de CLI en modo de configuración.
- Configuración rápida de CLI
- Configurar el filtro de firewall sin estado
- Aplicar el filtro de firewall a la interfaz de circuito cerrado
- Confirme y confirme la configuración de su candidato
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos en un archivo de texto, elimine los saltos de línea y, a continuación, pegue los comandos en la CLI en el [edit]
nivel de jerarquía.
set firewall family inet6 filter tcp_filter term 1 from next-header tcp set firewall family inet6 filter tcp_filter term 1 from tcp-flags syn set firewall family inet6 filter tcp_filter term 1 then count tcp_syn_pkt set firewall family inet6 filter tcp_filter term 1 then log set firewall family inet6 filter tcp_filter term 1 then accept set interfaces lo0 unit 0 family inet6 filter input tcp_filter set interfaces lo0 unit 0 family inet6 address ::10.34.1.0/120
Configurar el filtro de firewall sin estado
Procedimiento paso a paso
Para configurar el filtro de firewall
Cree el filtro tcp_filterde firewall sin estado IPv6 .
[edit] user@host# edit firewall family inet6 filter tcp_filter
Especifique que un paquete coincide si es el paquete inicial de una sesión TCP y el siguiente encabezado después del encabezado IPv6 es el tipo TCP.
[edit firewall family inet6 filter tcp_filter] user@host# set term 1 from next-header tcp user@host# set term 1 from tcp-flags syn
Especifique que los paquetes coincidentes se cuentan, se registran en el búfer en el motor de reenvío de paquetes y se aceptan.
[edit firewall family inet6 filter tcp_filter] user@host# set term 1 then count tcp_syn_pkt user@host# set term 1 then log user@host# set term 1 then accept
Aplicar el filtro de firewall a la interfaz de circuito cerrado
Procedimiento paso a paso
Para aplicar el filtro de firewall a la interfaz de circuito cerrado:
[edit] user@host# set interfaces lo0 unit 0 family inet6 filter input tcp_filter user@host# set interfaces lo0 unit 0 family inet6 address ::10.34.1.0/120
Confirme y confirme la configuración de su candidato
Procedimiento paso a paso
Para confirmar y, luego, confirmar la configuración de su candidato:
Para confirmar la configuración del filtro de firewall sin estado, ingrese el comando del modo de
show firewall
configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.[edit] user@host# show firewall family inet6 { filter tcp_filter { term 1 { from { next-header tcp; tcp-flags syn; } then { count tcp_syn_pkt; log; accept; } } } }
Confirme la configuración de la interfaz ingresando el comando de modo de
show interfaces
configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.[edit] user@host# show interfaces lo0 { unit 0 { family inet6 { filter { input tcp_filter; } address ::10.34.1.0/120; } } }
Cuando termine de configurar el dispositivo, confirme la configuración del candidato.
[edit] user@host# commit
Verificación
Para confirmar que la configuración funciona correctamente, ingrese el comando de show firewall modo operativo.