EN ESTA PÁGINA
Ejemplo: Configuración de un filtro de firewall sin estado para aceptar tráfico de fuentes de confianza
En este ejemplo se muestra cómo crear un filtro de firewall sin estado que protege el motor de enrutamiento del tráfico que se origina en orígenes que no son de confianza.
Requisitos
No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar los filtros de firewall sin estado.
Descripción general
En este ejemplo, se crea un filtro de firewall sin estado denominado protect-RE que descarta todo el tráfico destinado al motor de enrutamiento, excepto los paquetes de protocolo SSH y BGP de orígenes de confianza especificados. En este ejemplo se incluyen los siguientes términos de filtro de firewall:
ssh-term
: acepta paquetes TCP con una dirección de origen y un puerto de192.168.122.0/24
destino que especifica SSH.bgp-term
: acepta paquetes TCP con una dirección de origen y un puerto de10.2.1.0/24
destino que especifique BGP.discard-rest-term
: para todos los paquetes que no son aceptados porssh-term
obgp-term
, crea un registro de filtro de firewall y registros de registro del sistema y, a continuación, descarta todos los paquetes.
Puede mover términos dentro del filtro del firewall mediante el insert
comando. Consulte insertar en la Guía del usuario de la CLI de Junos OS.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y pegue los comandos en la CLI en el nivel de [edit]
jerarquía.
set firewall family inet filter protect-RE term ssh-term from source-address 192.168.122.0/24 set firewall family inet filter protect-RE term ssh-term from protocol tcp set firewall family inet filter protect-RE term ssh-term from destination-port ssh set firewall family inet filter protect-RE term ssh-term then accept set firewall family inet filter protect-RE term bgp-term from source-address 10.2.1.0/24 set firewall family inet filter protect-RE term bgp-term from protocol tcp set firewall family inet filter protect-RE term bgp-term from destination-port bgp set firewall family inet filter protect-RE term bgp-term then accept set firewall family inet filter protect-RE term discard-rest-term then log set firewall family inet filter protect-RE term discard-rest-term then syslog set firewall family inet filter protect-RE term discard-rest-term then discard set interfaces lo0 unit 0 family inet filter input protect-RE
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Usar el editor de CLI en el modo de configuración la Guía del usuario de la CLI de Junos OS.
Para configurar el filtro de firewall sin estado:
Cree el filtro de firewall sin estado.
[edit] user@host# edit firewall family inet filter protect-RE
Cree el primer término de filtro.
[edit firewall family inet filter protect-RE] user@host# edit term ssh-term
Defina las condiciones de coincidencia del protocolo, el puerto de destino y la dirección de origen para el término.
[edit firewall family inet filter protect-RE term ssh-term] user@host# set from protocol tcp destination-port ssh source-address 192.168.122.0/24
Defina las acciones para el término.
[edit firewall family inet filter protect-RE term ssh-term] user@host# set then accept
Cree el segundo término de filtro.
[edit firewall family inet filter protect-RE] user@host# edit term bgp-term
Defina las condiciones de coincidencia del protocolo, el puerto de destino y la dirección de origen para el término.
[edit firewall family inet filter protect-RE term bgp-term] user@host# set from protocol tcp destination-port bgp source-address 10.2.1.0/24
Defina la acción para el término.
[edit firewall family inet filter protect-RE term bgp-term] user@host# set then accept
Cree el tercer término de filtro.
[edit firewall family inet filter protect-RE] user@host# edit term discard-rest-term
Defina la acción para el término.
[edit firewall family inet filter protect-RE term discard-rest] user@host# set then log syslog discard
Aplique el filtro al lado de entrada de la interfaz del motor de enrutamiento.
[edit] user@host# set interfaces lo0 unit 0 family inet filter input protect-RE
Resultados
Confirme la configuración introduciendo el comando y el comando desde el show firewall
show interfaces lo0
modo de configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
user@host# show firewall family inet { filter protect-RE { term ssh-term { from { source-address { 192.168.122.0/24; } protocol tcp; destination-port ssh; } then accept; } term bgp-term { from { source-address { 10.2.1.0/24; } protocol tcp; destination-port bgp; } then accept; } term discard-rest-term { then { log; syslog; discard; } } } }
user@host# show interfaces lo0 unit 0 { family inet { filter { input protect-RE; } address 127.0.0.1/32; } }
Cuando termine de configurar el dispositivo, ingrese commit
en el modo de configuración.
[edit] user@host# commit
Verificación
Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:
- Visualización de configuraciones de filtro de firewall sin estado
- Verificar un filtro de firewall de servicios, protocolos y fuentes de confianza
- Visualización de registros de filtro de firewall sin estado
Visualización de configuraciones de filtro de firewall sin estado
Propósito
Compruebe la configuración del filtro de firewall.
Acción
En el modo de configuración, escriba el show firewall
comando y el show interfaces lo0
comando.
Significado
Compruebe que el resultado muestra la configuración prevista del filtro de firewall. Además, compruebe que los términos se enumeran en el orden en que desea que se prueben los paquetes. Puede mover términos dentro de un filtro de firewall mediante el comando de la insert
CLI.
Verificar un filtro de firewall de servicios, protocolos y fuentes de confianza
Propósito
Compruebe que se han llevado a cabo las acciones de los términos del filtro de firewall.
Acción
Enviar paquetes al dispositivo que coincidan con los términos. Además, compruebe que se han realizado las acciones not de filtrado para los paquetes que no coinciden.
Use el
ssh host-name
comando de un host en una dirección IP que coincida192.168.122.0/24
para comprobar que puede iniciar sesión en el dispositivo usando solo SSH de un host con este prefijo de dirección.Utilice el
show route summary
comando para comprobar que la tabla de enrutamiento del dispositivo no contiene ninguna entrada con un protocolo distinto deDirect
,Local
,BGP
, oStatic
.
Salida de muestra
nombre-comando
% ssh 192.168.249.71 %ssh host user@host's password: --- JUNOS 6.4-20040518.0 (JSERIES) #0: 2004-05-18 09:27:50 UTC user@host>
nombre-comando
user@host> show route summary Router ID: 192.168.249.71 inet.0: 34 destinations, 34 routes (33 active, 0 holddown, 1 hidden) Direct: 10 routes, 9 active Local: 9 routes, 9 active BGP: 10 routes, 10 active Static: 5 routes, 5 active ...
Significado
Verifique la información siguiente:
Puede iniciar sesión correctamente en el dispositivo mediante SSH.
El
show route summary
comando no muestra un protocolo distinto deDirect
,Local
,BGP
, oStatic
.
Visualización de registros de filtro de firewall sin estado
Propósito
Compruebe que se están registrando los paquetes. Si incluyó la log
acción o syslog
en un término, compruebe que los paquetes que coincidan con el término estén registrados en el registro del firewall o en el servicio de registro del sistema.
Acción
Desde el modo operativo, ingrese el comando show firewall log
.
Salida de muestra
nombre-comando
user@host> show firewall log Log : Time Filter Action Interface Protocol Src Addr Dest Addr 15:11:02 pfe D ge-0/0/0.0 TCP 172.17.28.19 192.168.70.71 15:11:01 pfe D ge-0/0/0.0 TCP 172.17.28.19 192.168.70.71 15:11:01 pfe D ge-0/0/0.0 TCP 172.17.28.19 192.168.70.71 15:11:01 pfe D ge-0/0/0.0 TCP 172.17.28.19 192.168.70.71 ...
Significado
Cada registro de la salida contiene información sobre el paquete registrado. Verifique la información siguiente:
En
Time
, se muestra la hora del día en que se filtró el paquete.El
Filter
resultado es siemprepfe
.En
Action
, la acción configurada del término coincide con la acción realizada en el paquete:A
(aceptar),D
(descartar),R
(rechazar).En
Interface
, la interfaz entrante (entrada) en la que llegó el paquete es adecuada para el filtro.En
Protocol
, el protocolo del encabezado IP del paquete es adecuado para el filtro.En
Src Addr
, la dirección de origen del encabezado IP del paquete es adecuada para el filtro.En
Dest Addr
, la dirección de destino en el encabezado IP del paquete es adecuada para el filtro.