EN ESTA PÁGINA
Ejemplo Configuración de un filtro de Firewall sin estado para tratar fragmentos
Este ejemplo muestra cómo crear un filtro de Firewall sin estado que controle fragmentos de paquetes.
Aplicables
No es necesaria ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar filtros de Firewall sin estado.
Descripción general
En este ejemplo, se crea un filtro de Firewall sin estado fragment-RE llamado que acepta los paquetes fragmentados originados en 10.2.1.0/24 y destinados al puerto BGP. Este ejemplo incluye los siguientes términos de filtro de Firewall:
not-from-prefix-term-: descarta paquetes que no sean de 10.2.1.0/24 para asegurarse de que los términos subsiguientes del filtro de firewall se coincidan con paquetes solo de 10.2.1.0/24.small-offset-term: descarta paquetes pequeños de compensación (1 a 5) para asegurarse de que los términos subsiguientes del filtro de firewall puedan coincidir con todos los encabezados del paquete. Además, el término agrega un registro a los destinos de registro del sistema para la utilidad de cortafuegos.not-fragmented-term: acepta paquetes TCP sinfragmentar con un puerto de destino que especifique el BGP protocolo. Un paquete se considera no fragmentado si no se establece el indicador NMF y el desplazamiento del fragmento es igual a 0.first-fragment-term: acepta el primer fragmento de un paquete TCP fragmentado con un puerto de destino que especifique el BGP protocolo.fragment-term: acepta todos los fragmentos que no se descartaron ensmall-offset-term. (fragmentos de paquetes 6-8191). Sin embargo, el dispositivo de destino solo remonta los fragmentos que forman parte de unfirst-fragment-termpaquete que contiene un primer fragmento aceptado por.
El desplazamiento de los fragmentos de paquetes puede estar comprendido entre 1 y 8191.
Puede mover los términos dentro del filtro del firewall utilizando el insert comando. Para obtener más información, consulte "insert" en la Guía del Junos OS CLI usuario.
Topología
Automática
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y [edit] pegue los comandos en la CLI en el nivel de jerarquía.
set firewall family inet filter fragment-RE term not-from-prefix-term from source-address 0.0.0.0/0 set firewall family inet filter fragment-RE term not-from-prefix-term from source-address 10.2.1.0/24 except set firewall family inet filter fragment-RE term not-from-prefix-term then discard set firewall family inet filter fragment-RE term small-offset-term from fragment-offset 1-5 set firewall family inet filter fragment-RE term small-offset-term then syslog set firewall family inet filter fragment-RE term small-offset-term then discard set firewall family inet filter fragment-RE term not-fragmented-term from fragment-offset 0 set firewall family inet filter fragment-RE term not-fragmented-term from fragment-flags "!more-fragments" set firewall family inet filter fragment-RE term not-fragmented-term from protocol tcp set firewall family inet filter fragment-RE term not-fragmented-term from destination-port bgp set firewall family inet filter fragment-RE term not-fragmented-term then accept set firewall family inet filter fragment-RE term first-fragment-term from first-fragment set firewall family inet filter fragment-RE term first-fragment-term from protocol tcp set firewall family inet filter fragment-RE term first-fragment-term from destination-port bgp set firewall family inet filter fragment-RE term first-fragment-term then accept set firewall family inet filter fragment-RE term fragment-term from fragment-offset 6-8191 set firewall family inet filter fragment-RE term fragment-term then accept
Modalidades
Procedimiento paso a paso
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte la Guía del Junos OS CLI Uso del editor de CLI en el modo de configuraciónusuario.
Para configurar el filtro de Firewall sin estado:
Defina el filtro de Firewall sin estado.
[edit] user@host# edit firewall family inet filter fragment-RE
Configure el primer término para el filtro.
[edit firewall family inet filter fragment-RE ] user@host# set term not-from-prefix-term from source-address 0.0.0.0/0 user@host# set term not-from-prefix-term from source-address 10.2.1.0/24 except user@host# set term not-from-prefix-term then discard
Defina el segundo término para el filtro.
[edit firewall family inet filter fragment-RE] user@host# edit term small-offset-term
Defina las condiciones de coincidencia para el término.
[edit firewall family inet filter fragment-RE term small-offset-term] user@host# set from fragment-offset 1-5
Defina la acción del término.
[edit firewall family inet filter fragment-RE term small-offset-term] user@host# set then syslog discard
Defina el tercer término para el filtro.
[edit] user@host# edit firewall family inet filter fragment-RE term not-fragmented-term
Defina las condiciones de coincidencia para el término.
[edit firewall family inet filter fragment-RE term not-fragmented-term] user@host# set from fragment-flags "!more-fragments" fragment-offset 0 protocol tcp destination-port bgp
Defina la acción del término.
[edit firewall family inet filter fragment-RE term not-fragmented-term] user@host# set then accept
Defina el cuarto término para el filtro.
[edit] user@host# edit firewall family inet filter fragment-RE term first-fragment-term
Defina las condiciones de coincidencia para el término.
[edit firewall family inet filter fragment-RE term first-fragment-term] user@host# set from first-fragment protocol tcp destination-port bgp
Defina la acción del término.
[edit firewall family inet filter fragment-RE term first-fragment-term] user@host# set then accept
Definir el último término para el filtro.
[edit] user@host# edit firewall family inet filter fragment-RE term fragment-term
Defina las condiciones de coincidencia para el término.
[edit firewall family inet filter fragment-RE term fragment-term] user@host# set from fragment-offset 6–8191
Defina la acción del término.
[edit firewall family inet filter fragment-RE term fragment-term] user@host# set then accept
Resultados
Confirme su configuración introduciendo el show firewall comando desde el modo de configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.
user@host# show firewall
family inet {
filter fragment-RE {
term not-from-prefix-term {
from {
source-address {
0.0.0.0/0;
10.2.1.0/24 except;
}
}
then discard;
}
term small-offset-term {
from {
fragment-offset 1-5;
}
then {
syslog;
discard;
}
}
term not-fragmented-term {
from {
fragment-offset 0;
fragment-flags "!more-fragments";
protocol tcp;
destination-port bgp;
}
then accept;
}
term first-fragment-term {
from {
first-fragment;
protocol tcp;
destination-port bgp;
}
then accept;
}
term fragment-term {
from {
fragment-offset 6-8191;
}
then accept;
}
}
}
Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.
Comproba
Para confirmar que la configuración funciona correctamente, realice estas tareas:
- Mostrar configuraciones de filtros de Firewall sin estado
- Comprobación de un filtro de firewall que administra fragmentos
Mostrar configuraciones de filtros de Firewall sin estado
Purpose
Compruebe la configuración del filtro de Firewall. Para analizar el flujo de los términos de filtro, puede mostrar toda la configuración.
Intervención
En el modo de configuración, show firewall escriba el comando.
Efectos
Compruebe que la salida muestra la configuración deseada del filtro de Firewall. Además, compruebe que los términos se enumeran en el orden en que desea que se prueben los paquetes. Puede mover los términos dentro de un filtro de firewall con insert el comando de CLI.
Comprobación de un filtro de firewall que administra fragmentos
Purpose
Compruebe que se realizan las acciones de los términos de filtro del firewall.
Intervención
Enviar paquetes al dispositivo que coincidan con los términos.
Efectos
Compruebe que los paquetes del 10.2.1.0/24 con desplazamientos por fragmentos pequeños están registrados en los destinos de registro del sistema del dispositivo para la instalación de firewall.