Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ejemplo Configuración de un filtro de Firewall sin estado para tratar fragmentos

Este ejemplo muestra cómo crear un filtro de Firewall sin estado que controle fragmentos de paquetes.

Aplicables

No es necesaria ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar filtros de Firewall sin estado.

Descripción general

En este ejemplo, se crea un filtro de Firewall sin estado fragment-RE llamado que acepta los paquetes fragmentados originados en 10.2.1.0/24 y destinados al puerto BGP. Este ejemplo incluye los siguientes términos de filtro de Firewall:

  • not-from-prefix-term-: descarta paquetes que no sean de 10.2.1.0/24 para asegurarse de que los términos subsiguientes del filtro de firewall se coincidan con paquetes solo de 10.2.1.0/24.

  • small-offset-term: descarta paquetes pequeños de compensación (1 a 5) para asegurarse de que los términos subsiguientes del filtro de firewall puedan coincidir con todos los encabezados del paquete. Además, el término agrega un registro a los destinos de registro del sistema para la utilidad de cortafuegos.

  • not-fragmented-term: acepta paquetes TCP sinfragmentar con un puerto de destino que especifique el BGP protocolo. Un paquete se considera no fragmentado si no se establece el indicador NMF y el desplazamiento del fragmento es igual a 0.

  • first-fragment-term: acepta el primer fragmento de un paquete TCP fragmentado con un puerto de destino que especifique el BGP protocolo.

  • fragment-term: acepta todos los fragmentos que no se descartaron en small-offset-term . (fragmentos de paquetes 6-8191). Sin embargo, el dispositivo de destino solo remonta los fragmentos que forman parte de un first-fragment-term paquete que contiene un primer fragmento aceptado por.

El desplazamiento de los fragmentos de paquetes puede estar comprendido entre 1 y 8191.

Nota:

Puede mover los términos dentro del filtro del firewall utilizando el insert comando. Para obtener más información, consulte "insert" en la Guía del Junos OS CLI usuario.

Topología

Automática

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y [edit] pegue los comandos en la CLI en el nivel de jerarquía.

Modalidades

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte la Guía del Junos OS CLI Uso del editor de CLI en el modo de configuraciónusuario.

Para configurar el filtro de Firewall sin estado:

  1. Defina el filtro de Firewall sin estado.

  2. Configure el primer término para el filtro.

  3. Defina el segundo término para el filtro.

  4. Defina las condiciones de coincidencia para el término.

  5. Defina la acción del término.

  6. Defina el tercer término para el filtro.

  7. Defina las condiciones de coincidencia para el término.

  8. Defina la acción del término.

  9. Defina el cuarto término para el filtro.

  10. Defina las condiciones de coincidencia para el término.

  11. Defina la acción del término.

  12. Definir el último término para el filtro.

  13. Defina las condiciones de coincidencia para el término.

  14. Defina la acción del término.

Resultados

Confirme su configuración introduciendo el show firewall comando desde el modo de configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Comproba

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Mostrar configuraciones de filtros de Firewall sin estado

Purpose

Compruebe la configuración del filtro de Firewall. Para analizar el flujo de los términos de filtro, puede mostrar toda la configuración.

Intervención

En el modo de configuración, show firewall escriba el comando.

Efectos

Compruebe que la salida muestra la configuración deseada del filtro de Firewall. Además, compruebe que los términos se enumeran en el orden en que desea que se prueben los paquetes. Puede mover los términos dentro de un filtro de firewall con insert el comando de CLI.

Comprobación de un filtro de firewall que administra fragmentos

Purpose

Compruebe que se realizan las acciones de los términos de filtro del firewall.

Intervención

Enviar paquetes al dispositivo que coincidan con los términos.

Efectos

Compruebe que los paquetes del 10.2.1.0/24 con desplazamientos por fragmentos pequeños están registrados en los destinos de registro del sistema del dispositivo para la instalación de firewall.