EN ESTA PÁGINA
Ejemplo: Configuración de un filtro para bloquear el acceso TFTP
Requisitos
No se necesita ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.
Descripción general
De forma predeterminada, para reducir la vulnerabilidad a los ataques de denegación de servicio (DoS), Junos OS filtra y descarta los paquetes del Protocolo de configuración dinámica de host (DHCP) o del Protocolo de arranque (BOOTP) que tienen una dirección de origen de 0.0.0.0 y una dirección de destino de 255.255.255.255. Este filtro predeterminado se conoce como comprobación RPF de unidifusión. Sin embargo, los equipos de algunos proveedores aceptan automáticamente estos paquetes.
Topología
Para interoperar con el equipo de otros proveedores, puede configurar un filtro que compruebe ambas direcciones y anule el filtro RPF-check predeterminado aceptando estos paquetes. En este ejemplo, bloquea el acceso al Protocolo trivial de transferencia de archivos (TFTP), registrando cualquier intento de establecer conexiones TFTP.
Configuración
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Usar el editor de CLI en el modo de configuración.
Para configurar este ejemplo, realice las siguientes tareas:
- Configuración rápida de CLI
- Configurar el filtro de firewall sin estado
- Aplicar el filtro de firewall a la interfaz de circuito cerrado
- Confirme y confirme su configuración candidata
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos de configuración en un archivo de texto, quite los saltos de línea y, a continuación, péguelos en la CLI en el nivel de [edit]
jerarquía.
set firewall family inet filter tftp_access_control term one from protocol udp set firewall family inet filter tftp_access_control term one from port tftp set firewall family inet filter tftp_access_control term one then log set firewall family inet filter tftp_access_control term one then discard set interfaces lo0 unit 0 family inet filter input tftp_access_control set interfaces lo0 unit 0 family inet address 127.0.0.1/32
Configurar el filtro de firewall sin estado
Procedimiento paso a paso
Para configurar el filtro de firewall sin estado que bloquea selectivamente el acceso TFTP:
Cree el filtro
tftp_access_control
de firewall sin estado.[edit] user@host# edit firewall family inet filter tftp_access_control
Especifique una coincidencia en los paquetes recibidos en el puerto UDP 69.
[edit firewall family inet filter tftp_access_control] user@host# set term one from protocol udp user@host# set term one from port tftp
Especifique que los paquetes coincidentes se registren en el búfer del motor de reenvío de paquetes y, a continuación, se descarten.
[edit firewall family inet filter tftp_access_control] user@host# set term one then log user@host# set term one then discard
Aplicar el filtro de firewall a la interfaz de circuito cerrado
Procedimiento paso a paso
Para aplicar el filtro de firewall a la interfaz de circuito cerrado:
[edit] user@host# set interfaces lo0 unit 0 family inet filter input tftp_access_control user@host# set interfaces lo0 unit 0 family inet address 127.0.0.1/32
Confirme y confirme su configuración candidata
Procedimiento paso a paso
Para confirmar y confirmar la configuración del candidato:
Confirme la configuración del filtro de firewall sin estado introduciendo el comando de
show firewall
modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.[edit] user@host# show firewall family inet { filter tftp_access_control { term one { from { protocol udp; port tftp; } then { log; discard; } } } }
Confirme la configuración de la interfaz introduciendo el comando de
show interfaces
modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.[edit] user@host# show interfaces lo0 { unit 0 { family inet { filter { input tftp_access_control; } address 127.0.0.1/32; } } }
Si ha terminado de configurar el dispositivo, confirme la configuración candidata.
[edit] user@host# commit
Verificación
Confirme que la configuración funciona correctamente:
Verificación de paquetes registrados y descartados
Propósito
Compruebe que se han llevado a cabo las acciones de los términos del filtro de firewall.
Acción
Hacia
Borre el registro del firewall en su enrutador o conmutador.
user@myhost> clear firewall log
Desde otro host, envíe un paquete al puerto
69
UDP de este enrutador o conmutador.