EN ESTA PÁGINA
Ejemplo: Configurar un filtro de firewall sin estado para manejar fragmentos
En este ejemplo, se muestra cómo crear un filtro de firewall sin estado que controla los fragmentos de paquetes.
Requisitos
No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar filtros de firewall sin estado.
Descripción general
En este ejemplo, se crea un filtro de firewall sin estado llamado fragment-RE que acepta paquetes fragmentados que se originan en 10.2.1.0/24 y destinados al puerto BGP. En este ejemplo, se incluyen los siguientes términos de filtro de firewall:
not-from-prefix-term-–Descarta paquetes que no sean de 10.2.1.0/24 para garantizar que los términos posteriores en el filtro de firewall coincidan con los paquetes de solo 10.2.1.0/24.small-offset-term— Descarta paquetes de desplazamiento pequeños (1–5) para garantizar que los términos posteriores del filtro de firewall puedan coincidir con todos los encabezados del paquete. Además, el término agrega un registro a los destinos de registro del sistema para la instalación de firewall.not-fragmented-term— Acepta paquetes TCP no desfragmentados con un puerto de destino que especifica el protocolo BGP. Un paquete se considera no fragmentado si el indicador MF no está establecido y el desplazamiento del fragmento es igual a 0.first-fragment-term— Acepta el primer fragmento de un paquete TCP fragmentado con un puerto de destino que especifica el protocolo BGP.fragment-term: acepta todos los fragmentos que no fueron descartados porsmall-offset-term. (fragmentos de paquete 6–8191). Sin embargo, solo los fragmentos que forman parte de un paquete que contiene un primer fragmento aceptado por son reensamblados porfirst-fragment-termel dispositivo de destino.
El desplazamiento de fragmentos de paquetes puede ser del 1 al 8191.
Puede mover términos dentro del filtro de firewall mediante el insert comando. Para obtener más información, consulte "insertar" en la Guía del usuario de la CLI de Junos OS.
Topología
Configuración
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue los comandos en la CLI en el [edit] nivel de jerarquía.
set firewall family inet filter fragment-RE term not-from-prefix-term from source-address 0.0.0.0/0 set firewall family inet filter fragment-RE term not-from-prefix-term from source-address 10.2.1.0/24 except set firewall family inet filter fragment-RE term not-from-prefix-term then discard set firewall family inet filter fragment-RE term small-offset-term from fragment-offset 1-5 set firewall family inet filter fragment-RE term small-offset-term then syslog set firewall family inet filter fragment-RE term small-offset-term then discard set firewall family inet filter fragment-RE term not-fragmented-term from fragment-offset 0 set firewall family inet filter fragment-RE term not-fragmented-term from fragment-flags "!more-fragments" set firewall family inet filter fragment-RE term not-fragmented-term from protocol tcp set firewall family inet filter fragment-RE term not-fragmented-term from destination-port bgp set firewall family inet filter fragment-RE term not-fragmented-term then accept set firewall family inet filter fragment-RE term first-fragment-term from first-fragment set firewall family inet filter fragment-RE term first-fragment-term from protocol tcp set firewall family inet filter fragment-RE term first-fragment-term from destination-port bgp set firewall family inet filter fragment-RE term first-fragment-term then accept set firewall family inet filter fragment-RE term fragment-term from fragment-offset 6-8191 set firewall family inet filter fragment-RE term fragment-term then accept
Procedimiento
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Usar el Editor de CLI en modo de configuración la Guía del usuario de la CLI de Junos OS.
Para configurar el filtro de firewall sin estado:
Defina el filtro de firewall sin estado.
[edit] user@host# edit firewall family inet filter fragment-RE
Configure el primer término para el filtro.
[edit firewall family inet filter fragment-RE ] user@host# set term not-from-prefix-term from source-address 0.0.0.0/0 user@host# set term not-from-prefix-term from source-address 10.2.1.0/24 except user@host# set term not-from-prefix-term then discard
Defina el segundo término para el filtro.
[edit firewall family inet filter fragment-RE] user@host# edit term small-offset-term
Defina las condiciones de coincidencia para el término.
[edit firewall family inet filter fragment-RE term small-offset-term] user@host# set from fragment-offset 1-5
Defina la acción para el término.
[edit firewall family inet filter fragment-RE term small-offset-term] user@host# set then syslog discard
Defina el tercer término para el filtro.
[edit] user@host# edit firewall family inet filter fragment-RE term not-fragmented-term
Defina las condiciones de coincidencia para el término.
[edit firewall family inet filter fragment-RE term not-fragmented-term] user@host# set from fragment-flags "!more-fragments" fragment-offset 0 protocol tcp destination-port bgp
Defina la acción para el término.
[edit firewall family inet filter fragment-RE term not-fragmented-term] user@host# set then accept
Defina el cuarto término para el filtro.
[edit] user@host# edit firewall family inet filter fragment-RE term first-fragment-term
Defina las condiciones de coincidencia para el término.
[edit firewall family inet filter fragment-RE term first-fragment-term] user@host# set from first-fragment protocol tcp destination-port bgp
Defina la acción para el término.
[edit firewall family inet filter fragment-RE term first-fragment-term] user@host# set then accept
Defina el último término para el filtro.
[edit] user@host# edit firewall family inet filter fragment-RE term fragment-term
Defina las condiciones de coincidencia para el término.
[edit firewall family inet filter fragment-RE term fragment-term] user@host# set from fragment-offset 6–8191
Defina la acción para el término.
[edit firewall family inet filter fragment-RE term fragment-term] user@host# set then accept
Resultados
Para confirmar la configuración, ingrese el comando desde el show firewall modo de configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
user@host# show firewall
family inet {
filter fragment-RE {
term not-from-prefix-term {
from {
source-address {
0.0.0.0/0;
10.2.1.0/24 except;
}
}
then discard;
}
term small-offset-term {
from {
fragment-offset 1-5;
}
then {
syslog;
discard;
}
}
term not-fragmented-term {
from {
fragment-offset 0;
fragment-flags "!more-fragments";
protocol tcp;
destination-port bgp;
}
then accept;
}
term first-fragment-term {
from {
first-fragment;
protocol tcp;
destination-port bgp;
}
then accept;
}
term fragment-term {
from {
fragment-offset 6-8191;
}
then accept;
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
- Visualización de configuraciones de filtro de firewall sin estado
- Verificar un filtro de firewall que maneje fragmentos
Visualización de configuraciones de filtro de firewall sin estado
Propósito
Compruebe la configuración del filtro de firewall. Puede analizar el flujo de los términos del filtro mostrando toda la configuración.
Acción
Desde el modo de configuración, ingrese el show firewall comando.
Significado
Compruebe que el resultado muestra la configuración prevista del filtro de firewall. Además, compruebe que los términos se enumeran en el orden en el que desea que se prueben los paquetes. Puede mover términos dentro de un filtro de firewall mediante el comando cli insert .
Verificar un filtro de firewall que maneje fragmentos
Propósito
Verifique que se realicen las acciones de los términos del filtro de firewall.
Acción
Envíe paquetes al dispositivo que coincidan con los términos.
Significado
Verifique que los paquetes de 10.2.1.0/24 con desplazamientos de fragmentos pequeños se registren en los destinos de registro del sistema del dispositivo para la instalación de firewall.