EN ESTA PÁGINA
Ejemplo: Configurar un filtro de firewall DHCP para proteger el motor de enrutamiento
En este ejemplo, se muestra cómo configurar un filtro de firewall para garantizar que los paquetes DHCP adecuados puedan llegar al motor de enrutamiento en los enrutadores de la serie MX.
Requisitos
Este ejemplo de configuración solo se aplica a los enrutadores en los que el proceso jdhcpd proporciona servicios de servidor local DHCP y agente de retransmisión DHCP en lugar del proceso o fud (reenvío UDP) heredado. Los enrutadores serie MX, M120 y M320 usan jdhcpd. Para el relé DHCP, esto significa que la configuración solo se requiere en el [edit forwarding-options dhcp-relay] nivel de jerarquía y no en el [edit forwarding-options helpers bootp] nivel de jerarquía.
No se requiere ninguna configuración especial más allá de la inicialización del dispositivo para poder configurar esta función.
Descripción general
Los filtros de firewall que realizan alguna acción en paquetes DHCP en el motor de enrutamiento, como un filtro para proteger el motor de enrutamiento al permitir solo los paquetes DHCP adecuados, requieren que tanto el puerto 67 (arranque) como el puerto 68 (bootpc) estén configurados como puertos de origen y destino.
jdhcpd encapsula los paquetes DHCP recibidos en las tarjetas de línea con un nuevo encabezado UDP en el que sus direcciones de origen y destino se establecen en el puerto 68 antes de reenviarse al motor de enrutamiento. Para el relé DHCP y el proxy DHCP, los paquetes enviados al servidor DHCP desde el enrutador tienen los puertos UDP de origen y destino establecidos en 67. El servidor DHCP responde con los mismos puertos. Sin embargo, cuando la tarjeta de línea recibe estos paquetes de respuesta DHCP, cambia ambos números de puerto del 67 al 68 antes de pasar los paquetes al motor de enrutamiento. En consecuencia, el filtro debe aceptar el puerto 67 para los paquetes transmitidos desde el cliente al servidor, y el puerto 68 para los paquetes transmitidos desde el servidor al cliente.
En este ejemplo, configure dos términos dhcp-client-accept de filtro y dhcp-server-accept. Las condiciones de coincidencia para dhcp-client-accept especificar una dirección de origen y una dirección de destino para paquetes de difusión, el protocolo UDP utilizado para paquetes DHCP y el puerto de origen de arranque (68). Los paquetes que coincidan con estas condiciones se cuentan y se aceptan. Este término no necesita especificar una condición de coincidencia para el puerto de destino de arranque ps (67). Como se configura a continuación, este término puede manejar tanto el paquete real (puerto 68) que pasa al motor de reenvío de paquetes como el paquete encapsulado (puerto 67 convertido a 68 mediante jdhcpd) que llega al demonio DHCP.
Las condiciones de coincidencia para dhcp-server-accept especificar el protocolo UDP utilizado para los paquetes DHCP y los puertos 67 y 68 para los puertos de origen y destino. Los paquetes que coincidan con estas condiciones se cuentan y se aceptan.
En este ejemplo no se muestran todas las opciones de configuración posibles ni cómo se aplica el filtro en la configuración. Este ejemplo se aplica tanto a la aplicación estática del filtro como a la aplicación dinámica con un perfil dinámico.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente el filtro DHCP de motor de enrutamiento de ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea y, luego, copie y pegue los comandos en la CLI.
[edit] edit firewall family inet filter RE-protect edit term dhcp-client-accept set from source-address 0.0.0.0/32 set from destination-address 255.255.255.255/32 set from protocol udp set from source-port 68 set then count dhcp-client-accept set then accept up edit term dhcp-server-accept set from protocol udp set from source-port 67 set from source-port 68 set from destination-port 67 set from destination-port 68 set then count dhcp-server-accept set then accept top
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Para configurar un filtro de firewall DHCP para proteger el motor de enrutamiento:
Cree o especifique un filtro de firewall.
[edit firewall] user@host# edit family inet filter RE-protect
Cree un término de filtro para el cliente.
[edit firewall family inet filter RE-protect] user@host# edit term dhcp-client-accept
Especifique las condiciones de coincidencia para los paquetes DHCP.
[edit firewall family inet filter RE-protect term dhcp-client-accept] user@host# set from source-address 0.0.0.0/32 user@host# set from destination-address 255.255.255.255/32 user@host# set from protocol udp user@host# set from source-port 68 user@host# set from destination-port 67
Especifique la acción que se llevará a cabo para los paquetes coincidentes.
[edit firewall family inet filter RE-protect term dhcp-client-accept] user@host# set then count dhcp-client-accept user@host# set then accept
Cree un término de filtro para el servidor.
[edit firewall family inet filter RE-protect] user@host# edit term dhcp-server-accept
Especifique las condiciones de coincidencia para los paquetes DHCP.
[edit firewall family inet filter RE-protect term dhcp-server-accept] user@host# set from protocol udp user@host# set from source-port [67 68] user@host# set from destination-port [67 68]
Especifique la acción que se llevará a cabo para los paquetes coincidentes.
[edit firewall family inet filter RE-protect term dhcp-server-accept] user@host# set then count dhcp-client-accept user@host# set then accept
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show firewall configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show firewall
family inet {
filter RE-protect {
term dhcp-client-accept {
from {
source-address {
0.0.0.0/32;
}
destination-address {
255.255.255.255/32;
}
protocol udp;
source-port 68;
destination-port 67;
}
then {
count dhcp-client-accept;
accept;
}
}
term dhcp-server-accept {
from {
protocol udp;
source-port [ 67 68 ];
destination-port [ 67 68 ];
}
then {
count dhcp-server-accept;
accept;
}
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Para confirmar que el filtro de protección DHCP del motor de enrutamiento está pasando correctamente los paquetes DHCP, realice estas tareas:
Verificar el funcionamiento del filtro DHCP
Propósito
Compruebe que ambos contadores se incrementan a medida que el tráfico DHCP pasa al motor de enrutamiento.
Acción
Desde el modo operativo, ingrese el show firewall family inet filter RE-protect comando.
user@host> show firewall family inet filter RE-protect Filter: RE-protect Counters: Name Bytes Packets dhcp-client-accept 328 1 dhcp-server-accept 574 1 user@host> show firewall family inet filter RE-protect Filter: RE-protect Counters: Name Bytes Packets dhcp-client-accept 660 2 dhcp-server-accept 1152 2
Significado
El resultado enumera los contadores configurados, dhcp-client-accept y dhcp-server-accept. Al emitir el comando más de una vez, puede ver que los campos de byte y paquete muestran que el tráfico se está aceptando y contando.