EN ESTA PÁGINA
Ejemplo: Configuración de un filtro de firewall sin estado para controlar fragmentos
En este ejemplo se muestra cómo crear un filtro de firewall sin estado que controla fragmentos de paquetes.
Requisitos
No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar los filtros de firewall sin estado.
Descripción general
En este ejemplo, se crea un filtro de firewall sin estado llamado fragment-RE que acepta paquetes fragmentados originados en 10.2.1.0/24 y destinados al puerto BGP. En este ejemplo se incluyen los siguientes términos de filtro de firewall:
not-from-prefix-term-–Descarta los paquetes que no sean de 10.2.1.0/24 para asegurarse de que los términos subsiguientes en el filtro de firewall coincidan con los paquetes de 10.2.1.0/24 solamente.small-offset-term: descarta paquetes desviados pequeños (1-5) para garantizar que los términos posteriores del filtro de firewall se puedan comparar con todos los encabezados del paquete. Además, el término agrega un registro a los destinos de registro del sistema para la función de firewall.not-fragmented-term: acepta paquetes TCP no fragmentados con un puerto de destino que especifica el protocolo BGP. Un paquete se considera no fragmentado si el indicador MF no está establecido y el desplazamiento del fragmento es igual a 0.first-fragment-term: acepta el primer fragmento de un paquete TCP fragmentado con un puerto de destino que especifica el protocolo BGP.fragment-term: acepta todos los fragmentos que no fueron descartados porsmall-offset-term. (fragmentos de paquetes 6–8191). Sin embargo, el dispositivo de destino sólo vuelve a ensamblar los fragmentos que forman parte de un paquete que contiene un primer fragmento aceptado porfirst-fragment-term.
El desplazamiento de fragmentos de paquetes puede ser del 1 al 8191.
Puede mover términos dentro del filtro del firewall mediante el insert comando. Para obtener más información, consulte "insertar" en la Guía del usuario de la CLI de Junos OS.
Topología
Configuración
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y pegue los comandos en la CLI en el nivel de [edit] jerarquía.
set firewall family inet filter fragment-RE term not-from-prefix-term from source-address 0.0.0.0/0 set firewall family inet filter fragment-RE term not-from-prefix-term from source-address 10.2.1.0/24 except set firewall family inet filter fragment-RE term not-from-prefix-term then discard set firewall family inet filter fragment-RE term small-offset-term from fragment-offset 1-5 set firewall family inet filter fragment-RE term small-offset-term then syslog set firewall family inet filter fragment-RE term small-offset-term then discard set firewall family inet filter fragment-RE term not-fragmented-term from fragment-offset 0 set firewall family inet filter fragment-RE term not-fragmented-term from fragment-flags "!more-fragments" set firewall family inet filter fragment-RE term not-fragmented-term from protocol tcp set firewall family inet filter fragment-RE term not-fragmented-term from destination-port bgp set firewall family inet filter fragment-RE term not-fragmented-term then accept set firewall family inet filter fragment-RE term first-fragment-term from first-fragment set firewall family inet filter fragment-RE term first-fragment-term from protocol tcp set firewall family inet filter fragment-RE term first-fragment-term from destination-port bgp set firewall family inet filter fragment-RE term first-fragment-term then accept set firewall family inet filter fragment-RE term fragment-term from fragment-offset 6-8191 set firewall family inet filter fragment-RE term fragment-term then accept
Procedimiento
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Usar el editor de CLI en el modo de configuración la Guía del usuario de la CLI de Junos OS.
Para configurar el filtro de firewall sin estado:
Defina el filtro de firewall sin estado.
[edit] user@host# edit firewall family inet filter fragment-RE
Configure el primer término para el filtro.
[edit firewall family inet filter fragment-RE ] user@host# set term not-from-prefix-term from source-address 0.0.0.0/0 user@host# set term not-from-prefix-term from source-address 10.2.1.0/24 except user@host# set term not-from-prefix-term then discard
Defina el segundo término para el filtro.
[edit firewall family inet filter fragment-RE] user@host# edit term small-offset-term
Defina las condiciones de coincidencia para el término.
[edit firewall family inet filter fragment-RE term small-offset-term] user@host# set from fragment-offset 1-5
Defina la acción para el término.
[edit firewall family inet filter fragment-RE term small-offset-term] user@host# set then syslog discard
Defina el tercer término para el filtro.
[edit] user@host# edit firewall family inet filter fragment-RE term not-fragmented-term
Defina las condiciones de coincidencia para el término.
[edit firewall family inet filter fragment-RE term not-fragmented-term] user@host# set from fragment-flags "!more-fragments" fragment-offset 0 protocol tcp destination-port bgp
Defina la acción para el término.
[edit firewall family inet filter fragment-RE term not-fragmented-term] user@host# set then accept
Defina el cuarto término para el filtro.
[edit] user@host# edit firewall family inet filter fragment-RE term first-fragment-term
Defina las condiciones de coincidencia para el término.
[edit firewall family inet filter fragment-RE term first-fragment-term] user@host# set from first-fragment protocol tcp destination-port bgp
Defina la acción para el término.
[edit firewall family inet filter fragment-RE term first-fragment-term] user@host# set then accept
Defina el último término para el filtro.
[edit] user@host# edit firewall family inet filter fragment-RE term fragment-term
Defina las condiciones de coincidencia para el término.
[edit firewall family inet filter fragment-RE term fragment-term] user@host# set from fragment-offset 6–8191
Defina la acción para el término.
[edit firewall family inet filter fragment-RE term fragment-term] user@host# set then accept
Resultados
Confirme la configuración introduciendo el comando desde el show firewall modo de configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
user@host# show firewall
family inet {
filter fragment-RE {
term not-from-prefix-term {
from {
source-address {
0.0.0.0/0;
10.2.1.0/24 except;
}
}
then discard;
}
term small-offset-term {
from {
fragment-offset 1-5;
}
then {
syslog;
discard;
}
}
term not-fragmented-term {
from {
fragment-offset 0;
fragment-flags "!more-fragments";
protocol tcp;
destination-port bgp;
}
then accept;
}
term first-fragment-term {
from {
first-fragment;
protocol tcp;
destination-port bgp;
}
then accept;
}
term fragment-term {
from {
fragment-offset 6-8191;
}
then accept;
}
}
}
Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.
Verificación
Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:
- Visualización de configuraciones de filtro de firewall sin estado
- Comprobar un filtro de firewall que controla fragmentos
Visualización de configuraciones de filtro de firewall sin estado
Propósito
Compruebe la configuración del filtro de firewall. Puede analizar el flujo de los términos del filtro mostrando la configuración completa.
Acción
En el modo de configuración, escriba el comando show firewall.
Significado
Compruebe que el resultado muestra la configuración prevista del filtro de firewall. Además, compruebe que los términos se enumeran en el orden en que desea que se prueben los paquetes. Puede mover términos dentro de un filtro de firewall mediante el comando de la insert CLI.
Comprobar un filtro de firewall que controla fragmentos
Propósito
Compruebe que se han llevado a cabo las acciones de los términos del filtro de firewall.
Acción
Enviar paquetes al dispositivo que coincidan con los términos.
Significado
Verifique que los paquetes de 10.2.1.0/24 con desplazamientos de fragmentos pequeños se registren en los destinos de registro del sistema del dispositivo para la instalación de firewall.