Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Ejemplo: Configurar un filtro para bloquear el acceso TFTP

Requisitos

No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.

Descripción general

De forma predeterminada, para reducir la vulnerabilidad a los ataques de denegación de servicio (DoS), Junos OS filtra y descarta paquetes de Protocolo de configuración dinámica de host (DHCP) o protocolo de arranque (BOOTP) que tienen una dirección de origen de 0.0.0.0 y una dirección de destino de 255.255.255.255. Este filtro predeterminado se conoce como comprobación RPF de unidifusión. Sin embargo, el equipo de algunos proveedores acepta automáticamente estos paquetes.

Topología

Para interoperar con el equipo de otros proveedores, puede configurar un filtro que comprueba ambas direcciones y anula el filtro predeterminado RPF-check aceptando estos paquetes. En este ejemplo, bloquea el acceso del Protocolo de transferencia de archivos trivial (TFTP) y registra cualquier intento de establecer conexiones TFTP.

Configuración

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener más información acerca de cómo navegar por la CLI, consulte Usar el Editor de CLI en modo de configuración.

Para configurar este ejemplo, realice las siguientes tareas:

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos de configuración en un archivo de texto, elimine los saltos de línea y, a continuación, pegue los comandos en la CLI en el [edit] nivel de jerarquía.

Configurar el filtro de firewall sin estado

Procedimiento paso a paso

Para configurar el filtro de firewall sin estado que bloquea selectivamente el acceso TFTP:

  1. Cree el filtro de firewall sin estado tftp_access_control.

  2. Especifique una coincidencia en los paquetes recibidos en el puerto UDP 69.

  3. Especifique que los paquetes coincidentes se registren en el búfer en el motor de reenvío de paquetes y, luego, se descarten.

Aplicar el filtro de firewall a la interfaz de circuito cerrado

Procedimiento paso a paso

Para aplicar el filtro de firewall a la interfaz de circuito cerrado:

Confirme y confirme la configuración de su candidato

Procedimiento paso a paso

Para confirmar y, luego, confirmar la configuración de su candidato:

  1. Para confirmar la configuración del filtro de firewall sin estado, ingrese el comando del modo de show firewall configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

  2. Confirme la configuración de la interfaz ingresando el comando de modo de show interfaces configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

  3. Si ha terminado de configurar el dispositivo, confirme la configuración del candidato.

Verificación

Confirme que la configuración funciona correctamente:

Verificar paquetes registrados y descartados

Propósito

Verifique que se realicen las acciones de los términos del filtro de firewall.

Acción

Para

  1. Desactive el registro del firewall en el enrutador o conmutador.

  2. Desde otro host, envíe un paquete al puerto 69 UDP en este enrutador o conmutador.

Temas relacionados