EN ESTA PÁGINA
Ejemplo: Configurar un filtro para aceptar paquetes DHCP basados en direcciones
En este ejemplo, se muestra cómo configurar un filtro de firewall estándar sin estado para aceptar paquetes de un origen de confianza.
Requisitos
Este ejemplo solo se admite en enrutadores serie MX y conmutadores serie EX.
Descripción general
En este ejemplo, se crea un filtro (rpf_dhcp) que acepta paquetes DHCP con una dirección de origen y una dirección de 0.0.0.0 destino de 255.255.255.255.
Configuración
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener más información acerca de cómo navegar por la CLI, consulte Usar el Editor de CLI en modo de configuración.
- Configuración rápida de CLI
- Configurar el filtro de firewall sin estado
- Aplicar el filtro de firewall a la interfaz de circuito cerrado
- Confirme y confirme la configuración de su candidato
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos de configuración en un archivo de texto, elimine los saltos de línea y, a continuación, pegue los comandos en la CLI en el [edit] nivel de jerarquía.
set firewall family inet filter rpf_dhcp term dhcp_term from source-address 0.0.0.0/32 set firewall family inet filter rpf_dhcp term dhcp_term from destination-address 255.255.255.255/32 set firewall family inet filter rpf_dhcp term dhcp_term then accept set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30 set interfaces ge-0/0/1 unit 0 family inet filter input sam
Configurar el filtro de firewall sin estado
Procedimiento paso a paso
Para configurar el filtro de firewall sin estado:
Cree el filtro de firewall sin estado
rpf_dhcp.[edit] user@host# edit firewall family inet filter rpf_dhcp
Configure el término para que coincida con paquetes con una dirección de origen y una dirección de
0.0.0.0destino de255.255.255.255.[edit firewall family inet filter rpf_dhcp] user@host# set term dhcp_term from source-address 0.0.0.0/32 user@host# set term dhcp_term from destination-address 255.255.255.255/32
Configure el término para aceptar paquetes que coincidan con las condiciones especificadas.
[edit firewall family inet filter rpf_dhcp] set term dhcp_term then accept
Aplicar el filtro de firewall a la interfaz de circuito cerrado
Procedimiento paso a paso
Para aplicar el filtro a la entrada en la interfaz de circuito cerrado:
Aplique el
rpf_dhcpfiltro si los paquetes no llegan a la ruta esperada.[edit] user@host# set interfaces lo0 unit 0 family inet rpf-check fail-filter rpf_dhcp
Configure una dirección para la interfaz de circuito cerrado.
[edit] user@host# set interfaces lo0 unit 0 family inet address 127.0.0.1/32
Confirme y confirme la configuración de su candidato
Procedimiento paso a paso
Para confirmar y, luego, confirmar la configuración de su candidato:
Para confirmar la configuración del filtro de firewall sin estado, ingrese el comando del modo de
show firewallconfiguración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.[edit] user@host# show firewall family inet { filter rpf_dhcp { term dhcp_term { from { source-address { 0.0.0.0/32; } destination-address { 255.255.255.255/32; } } then accept; } } }Confirme la configuración de la interfaz ingresando el comando de modo de
show interfacesconfiguración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.[edit] user@host# show interfaces lo0 { unit 0 { family inet { filter { rpf-check { fail-filter rpf_dhcp; mode loose; } } address 127.0.0.1/32; } } }Cuando termine de configurar el dispositivo, confirme la configuración del candidato.
[edit] user@host# commit
Verificación
Para confirmar que la configuración funciona correctamente, ingrese el comando de show firewall modo operativo.