EN ESTA PÁGINA
Ejemplo: Configuración de un filtro para que coincida en los campos Puerto y Protocolo
En este ejemplo se muestra cómo configurar un filtro de firewall sin estado estándar para que coincida con los campos de protocolo y puerto de destino.
Requisitos
No se necesita ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.
Descripción general
En este ejemplo, se configura un filtro de firewall sin estado que acepta todos los paquetes IPv4 excepto los paquetes TCP y UDP. Los paquetes TCP y UDP se aceptan si están destinados al puerto SSH o al puerto Telnet. Se rechazan todos los demás paquetes.
Configuración
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Usar el editor de CLI en el modo de configuración.
- Configuración rápida de CLI
- Configurar el filtro de firewall sin estado
- Aplicar el filtro de firewall sin estado a una interfaz lógica
- Confirme y confirme su configuración candidata
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos de configuración en un archivo de texto, quite los saltos de línea y, a continuación, pegue los comandos en la CLI en el nivel de [edit] jerarquía:
set firewall family inet filter filter1 term term1 from protocol-except tcp set firewall family inet filter filter1 term term1 from protocol-except udp set firewall family inet filter filter1 term term1 then accept set firewall family inet filter filter1 term term2 from address 192.168.0.0/16 set firewall family inet filter filter1 term term2 then reject set firewall family inet filter filter1 term term3 from destination-port ssh set firewall family inet filter filter1 term term3 from destination-port telnet set firewall family inet filter filter1 term term3 then accept set firewall family inet filter filter1 term term4 then reject set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30 set interfaces ge-0/0/1 unit 0 family inet filter input filter1
Configurar el filtro de firewall sin estado
Procedimiento paso a paso
Para configurar el filtro filter1de firewall sin estado:
Cree el filtro de firewall sin estado IPv4.
[edit] user@host# edit firewall family inet filter filter1
Configure un término para aceptar todo el tráfico excepto los paquetes TCP y UDP.
[edit firewall family inet filter filter1] user@host# set term term1 from protocol-except tcp user@host# set term term1 from protocol-except udp user@host# set term term1 then accept
Configure un término para rechazar paquetes hacia o desde el
192.168/16prefijo.[edit firewall family inet filter filter1] user@host# set term term2 from address 192.168.0.0/16 user@host# set term term2 then reject
Configure un término para aceptar paquetes destinados al puerto SSH o al puerto Telnet.
[edit firewall family inet filter filter1] user@host# set term term3 from destination-port ssh user@host# set term term3 from destination-port telnet user@host# set term term3 then accept
Configure el último término para rechazar todos los paquetes.
[edit firewall family inet filter filter1] user@host# set term term4 then reject
Aplicar el filtro de firewall sin estado a una interfaz lógica
Procedimiento paso a paso
Para aplicar el filtro de firewall sin estado a una interfaz lógica:
Configure la interfaz lógica a la que aplicará el filtro de firewall sin estado.
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
Configure la dirección de interfaz para la interfaz lógica.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
Aplique el filtro de firewall sin estado a la interfaz lógica.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input filter1
Confirme y confirme su configuración candidata
Procedimiento paso a paso
Para confirmar y confirmar la configuración del candidato:
Confirme la configuración del filtro de firewall sin estado introduciendo el comando de
show firewallmodo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.[edit] user@host# show firewall family inet { filter filter1 { term term1 { from { protocol-except [tcp udp]; } then { accept; } } term term2 { from { address 192.168/16; } then { reject; } } term term3 { from { destination-port [ssh telnet]; } then { accept; } } term term4 { then { reject; } } } }Confirme la configuración de la interfaz introduciendo el comando de
show interfacesmodo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { filter { input filter1; } address 10.1.2.3/30; } } }Si ha terminado de configurar el dispositivo, confirme la configuración candidata.
[edit] user@host# commit
Verificación
Para confirmar que la configuración funciona correctamente, introduzca el comando de show firewall filter filter1 modo operativo.