EN ESTA PÁGINA
Ejemplo: Configurar un filtro para que coincida en dos criterios no relacionados
En este ejemplo, se muestra cómo configurar un filtro de firewall estándar sin estado para que coincida con dos criterios no relacionados.
Requisitos
No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.
Descripción general
En este ejemplo, se utiliza un filtro de firewall estándar sin estado para hacer coincidir paquetes IPv4 que son paquetes OSPF o paquetes que vienen de una dirección en el prefijo 10.108/16, y envía un administratively-prohibited mensaje ICMP para todos los paquetes que no coincidan.
Configuración
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener más información acerca de cómo navegar por la CLI, consulte Usar el Editor de CLI en modo de configuración.
Para configurar este ejemplo, realice las siguientes tareas:
- Configuración rápida de CLI
- Configuración del filtro de firewall IPv4
- Aplicación del filtro de firewall IPv4 a una interfaz lógica
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos de configuración en un archivo de texto, elimine los saltos de línea y, a continuación, pegue los comandos en la CLI en el [edit] nivel de jerarquía.
set firewall family inet filter ospf_or_131 term protocol_match from protocol ospf set firewall family inet filter ospf_or_131 term address-match from source-address 10.108.0.0/16 set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30 set interfaces ge-0/0/1 unit 0 family inet filter input ospf_or_131
Configuración del filtro de firewall IPv4
Procedimiento paso a paso
Para configurar el filtro de firewall IPv4:
Habilite la configuración del filtro de firewall IPv4.
[edit] user@host# edit firewall family inet filter ospf_or_131
Configure el primer término para aceptar paquetes OSPF.
[edit firewall family inet filter ospf_or_131] user@host# set term protocol_match from protocol ospf
Los paquetes que coincidan con la condición se aceptan de forma predeterminada. Dado que otro término sigue a este término, los paquetes que no coincidan con esta condición se evalúan por el siguiente término.
Configure el segundo término para aceptar paquetes de cualquier dirección IPv4 en un prefijo determinado.
[edit firewall family inet filter ospf_or_131] user@host# set term address_match from source-address 10.108.0.0/16
Los paquetes que coincidan con esta condición se aceptan de forma predeterminada. Dado que este es el último término del filtro, los paquetes que no coincidan con esta condición se descartan de forma predeterminada.
Resultados
Para confirmar la configuración del filtro de firewall sin estado, ingrese el comando del modo de show firewall configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este procedimiento para corregir la configuración.
[edit]
user@host# show firewall
family inet {
filter ospf_or_131 {
term protocol_match {
from {
protocol ospf;
}
}
term address_match {
from {
source-address {
10.108.0.0/16;
}
}
}
}
}
Aplicación del filtro de firewall IPv4 a una interfaz lógica
Procedimiento paso a paso
Para aplicar el filtro de firewall sin estado a una interfaz lógica:
Habilite la configuración de una interfaz lógica.
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
Configure una dirección IP para la interfaz lógica.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
Aplique el filtro de firewall IPv4 a la interfaz lógica.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input ospf_or_131
Resultados
Confirme la configuración de la interfaz ingresando el comando de modo de show interfaces configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este procedimiento para corregir la configuración.
[edit]
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family inet {
filter {
input ospf_or_131;
}
address 10.1.2.3/30;
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, ingrese el comando de show firewall filter ospf_or_131 modo operativo.