Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ejemplo: Configurar un filtro de firewall sin estado para manejar fragmentos

En este ejemplo, se muestra cómo crear un filtro de firewall sin estado que controla los fragmentos de paquetes.

Requisitos

No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar filtros de firewall sin estado.

Descripción general

En este ejemplo, se crea un filtro de firewall sin estado llamado fragment-RE que acepta paquetes fragmentados que se originan en 10.2.1.0/24 y destinados al puerto BGP. En este ejemplo, se incluyen los siguientes términos de filtro de firewall:

  • not-from-prefix-term-–Descarta paquetes que no sean de 10.2.1.0/24 para garantizar que los términos posteriores en el filtro de firewall coincidan con los paquetes de solo 10.2.1.0/24.

  • small-offset-term— Descarta paquetes de desplazamiento pequeños (1–5) para garantizar que los términos posteriores del filtro de firewall puedan coincidir con todos los encabezados del paquete. Además, el término agrega un registro a los destinos de registro del sistema para la instalación de firewall.

  • not-fragmented-term— Acepta paquetes TCP no desfragmentados con un puerto de destino que especifica el protocolo BGP. Un paquete se considera no fragmentado si el indicador MF no está establecido y el desplazamiento del fragmento es igual a 0.

  • first-fragment-term— Acepta el primer fragmento de un paquete TCP fragmentado con un puerto de destino que especifica el protocolo BGP.

  • fragment-term: acepta todos los fragmentos que no fueron descartados por small-offset-term. (fragmentos de paquete 6–8191). Sin embargo, solo los fragmentos que forman parte de un paquete que contiene un primer fragmento aceptado por son reensamblados por first-fragment-term el dispositivo de destino.

El desplazamiento de fragmentos de paquetes puede ser del 1 al 8191.

Nota:

Puede mover términos dentro del filtro de firewall mediante el insert comando. Para obtener más información, consulte "insertar" en la Guía del usuario de la CLI de Junos OS.

Topología

Configuración

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue los comandos en la CLI en el [edit] nivel de jerarquía.

Procedimiento

Procedimiento paso a paso

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Usar el Editor de CLI en modo de configuración la Guía del usuario de la CLI de Junos OS.

Para configurar el filtro de firewall sin estado:

  1. Defina el filtro de firewall sin estado.

  2. Configure el primer término para el filtro.

  3. Defina el segundo término para el filtro.

  4. Defina las condiciones de coincidencia para el término.

  5. Defina la acción para el término.

  6. Defina el tercer término para el filtro.

  7. Defina las condiciones de coincidencia para el término.

  8. Defina la acción para el término.

  9. Defina el cuarto término para el filtro.

  10. Defina las condiciones de coincidencia para el término.

  11. Defina la acción para el término.

  12. Defina el último término para el filtro.

  13. Defina las condiciones de coincidencia para el término.

  14. Defina la acción para el término.

Resultados

Para confirmar la configuración, ingrese el comando desde el show firewall modo de configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Visualización de configuraciones de filtro de firewall sin estado

Propósito

Compruebe la configuración del filtro de firewall. Puede analizar el flujo de los términos del filtro mostrando toda la configuración.

Acción

Desde el modo de configuración, ingrese el show firewall comando.

Significado

Compruebe que el resultado muestra la configuración prevista del filtro de firewall. Además, compruebe que los términos se enumeran en el orden en el que desea que se prueben los paquetes. Puede mover términos dentro de un filtro de firewall mediante el comando cli insert .

Verificar un filtro de firewall que maneje fragmentos

Propósito

Verifique que se realicen las acciones de los términos del filtro de firewall.

Acción

Envíe paquetes al dispositivo que coincidan con los términos.

Significado

Verifique que los paquetes de 10.2.1.0/24 con desplazamientos de fragmentos pequeños se registren en los destinos de registro del sistema del dispositivo para la instalación de firewall.