Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Ejemplo: Configurar un filtro de firewall sin estado para aceptar tráfico de fuentes de confianza

En este ejemplo, se muestra cómo crear un filtro de firewall sin estado que proteja el motor de enrutamiento del tráfico que se origina en fuentes que no son de confianza.

Requisitos

No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar filtros de firewall sin estado.

Descripción general

En este ejemplo, se crea un filtro de firewall sin estado llamado protect-RE que descarta todo el tráfico destinado al motor de enrutamiento, excepto los paquetes de protocolo SSH y BGP de fuentes de confianza especificadas. En este ejemplo, se incluyen los siguientes términos de filtro de firewall:

  • ssh-term: acepta paquetes TCP con una dirección de origen y un puerto de 192.168.122.0/24 destino que especifica SSH.

  • bgp-term— Acepta paquetes TCP con una dirección de origen y un puerto de 10.2.1.0/24 destino que especifica BGP.

  • discard-rest-term— Para todos los paquetes que no son aceptados por ssh-term o bgp-term, crea un registro de filtro de firewall y registros de registro del sistema, luego descarta todos los paquetes.

Nota:

Puede mover términos dentro del filtro de firewall mediante el insert comando. Consulte insertar en la Guía del usuario de la CLI de Junos OS.

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue los comandos en la CLI en el [edit] nivel de jerarquía.

Procedimiento paso a paso

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Usar el Editor de CLI en modo de configuración la Guía del usuario de la CLI de Junos OS.

Para configurar el filtro de firewall sin estado:

  1. Cree el filtro de firewall sin estado.

  2. Cree el primer término de filtro.

  3. Defina las condiciones de coincidencia de protocolo, puerto de destino y dirección de origen para el término.

  4. Defina las acciones para el término.

  5. Cree el segundo término de filtro.

  6. Defina las condiciones de coincidencia de protocolo, puerto de destino y dirección de origen para el término.

  7. Defina la acción para el término.

  8. Cree el tercer término de filtro.

  9. Defina la acción para el término.

  10. Aplique el filtro al lado de entrada de la interfaz del motor de enrutamiento.

Resultados

Confirme su configuración ingresando el show firewall comando y el comando desde el show interfaces lo0 modo de configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Visualización de configuraciones de filtro de firewall sin estado

Propósito

Compruebe la configuración del filtro de firewall.

Acción

Desde el modo de configuración, escriba el show firewall comando y el show interfaces lo0 comando.

Significado

Compruebe que el resultado muestra la configuración prevista del filtro de firewall. Además, compruebe que los términos se enumeran en el orden en el que desea que se prueben los paquetes. Puede mover términos dentro de un filtro de firewall mediante el comando cli insert .

Verificar un filtro de firewall de servicios, protocolos y fuentes de confianza

Propósito

Verifique que se realicen las acciones de los términos del filtro de firewall.

Acción

Envíe paquetes al dispositivo que coincidan con los términos. Además, compruebe que se not realizan las acciones de filtro para paquetes que no coincidan.

  • Utilice el ssh host-name comando desde un host en una dirección IP que coincida 192.168.122.0/24 para comprobar que puede iniciar sesión en el dispositivo usando solo SSH desde un host con este prefijo de dirección.

  • Utilice el show route summary comando para comprobar que la tabla de enrutamiento del dispositivo no contiene ninguna entrada con un protocolo distinto de Direct, Local, BGPo Static.

Salida de muestra
nombre de comando
nombre de comando

Significado

Compruebe la siguiente información:

  • Puede iniciar sesión correctamente en el dispositivo mediante SSH.

  • El show route summary comando no muestra un protocolo que no sea Direct, Local, BGP, o Static.

Mostrar registros de filtros de firewall sin estado

Propósito

Compruebe que los paquetes se están registrando. Si incluyó la log o syslog acción en un término, verifique que los paquetes que coincidan con el término se registren en el registro del firewall o en la instalación de registro del sistema.

Acción

Desde el modo operativo, ingrese el show firewall log comando.

Salida de muestra
nombre de comando

Significado

Cada registro de la salida contiene información sobre el paquete registrado. Compruebe la siguiente información:

  • En Time, se muestra la hora del día en que se filtre el paquete.

  • El Filter resultado siempre pfees .

  • En Action, la acción configurada del término coincide con la acción realizada en el paquete—A (aceptar), D (descartar), R (rechazar).

  • En Interface, la interfaz de entrada (entrada) a la que llegó el paquete es adecuada para el filtro.

  • En Protocol, el protocolo en el encabezado IP del paquete es apropiado para el filtro.

  • En Src Addr, la dirección de origen en el encabezado IP del paquete es adecuada para el filtro.

  • En Dest Addr, la dirección de destino en el encabezado IP del paquete es adecuada para el filtro.

Temas relacionados