На этой странице
Примере: Настройка фильтра межсетевых экранов без с состоянием состояния для прием трафика из надежных источников
В данном примере показано, как создать фильтр межсетевых экранов без с состоянием, который модуль маршрутизации трафика, исходя из недоверных источников.
Требования
До настройки фильтров межсетевых экранов, не устанавливающих состояние, не требуется особой конфигурации после инициализации устройства.
Обзор
В этом примере создается фильтр межсетевых экранов без с состоянием состояния, называемый protect-RE, который отбрасывается весь трафик, предназначенный для модуль маршрутизации трафика, кроме SSH и BGP пакетов протокола из указанных доверенных источников. В данном примере термины фильтра межсетевых экранов:
ssh-term-Принимает пакеты TCP с адресом источника и портом назначения,192.168.122.0/24который определяет SSH.bgp-term- Принимает пакеты TCP с адресом источника и портом назначения,10.2.1.0/24который BGP.discard-rest-term—Для всех пакетов, которые не принимаются или создаются журнал фильтра межсетевых экранов и записи системных журналов, а затем отбрасываютсяssh-termbgp-termвсе пакеты.
С помощью этой команды можно перемещать термины в пределах фильтра межсетевых insert экранов. См. вставитьв руководстве Junos OS интерфейс командной строки пользователя.
Конфигурации
Процедуры
интерфейс командной строки быстрой конфигурации
Чтобы быстро настроить этот пример, скопировать следующие команды, ввести их в текстовый файл, удалить все разрывы строки, изменить все данные, необходимые для настройки сети, а затем скопировать и вкопировать команды в интерфейс командной строки на [edit] иерархии.
set firewall family inet filter protect-RE term ssh-term from source-address 192.168.122.0/24 set firewall family inet filter protect-RE term ssh-term from protocol tcp set firewall family inet filter protect-RE term ssh-term from destination-port ssh set firewall family inet filter protect-RE term ssh-term then accept set firewall family inet filter protect-RE term bgp-term from source-address 10.2.1.0/24 set firewall family inet filter protect-RE term bgp-term from protocol tcp set firewall family inet filter protect-RE term bgp-term from destination-port bgp set firewall family inet filter protect-RE term bgp-term then accept set firewall family inet filter protect-RE term discard-rest-term then log set firewall family inet filter protect-RE term discard-rest-term then syslog set firewall family inet filter protect-RE term discard-rest-term then discard set interfaces lo0 unit 0 family inet filter input protect-RE
Пошаговая процедура
В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому делать см. в E. редактор интерфейс командной строки в режиме конфигурации руководстве Junos OS интерфейс командной строки пользователя.
Настройка фильтра межсетевых экранов без с состоянием состояния:
Создайте фильтр межсетевых экранов без с состоянием состояния.
[edit] user@host# edit firewall family inet filter protect-RE
Создайте первый термин фильтра.
[edit firewall family inet filter protect-RE] user@host# edit term ssh-term
Определите для этого термина условия совпадения протокола, порта назначения и адреса источника.
[edit firewall family inet filter protect-RE term ssh-term] user@host# set from protocol tcp destination-port ssh source-address 192.168.122.0/24
Определите действия для этого термина.
[edit firewall family inet filter protect-RE term ssh-term] user@host# set then accept
Создайте второй термин фильтра.
[edit firewall family inet filter protect-RE] user@host# edit term bgp-term
Определите для этого термина условия совпадения протокола, порта назначения и адреса источника.
[edit firewall family inet filter protect-RE term bgp-term] user@host# set from protocol tcp destination-port bgp source-address 10.2.1.0/24
Определите действие для этого термина.
[edit firewall family inet filter protect-RE term bgp-term] user@host# set then accept
Создайте третий термин фильтра.
[edit firewall family inet filter protect-RE] user@host# edit term discard-rest-term
Определите действие для этого термина.
[edit firewall family inet filter protect-RE term discard-rest] user@host# set then log syslog discard
Примените фильтр к входной стороне модуль маршрутизации интерфейса.
[edit] user@host# set interfaces lo0 unit 0 family inet filter input protect-RE
Результаты
Подтвердите конфигурацию, введите show firewall команду и команду из режима show interfaces lo0 конфигурации. Если в выходных данных не отображается указанная конфигурация, повторите инструкции, показанные в данном примере, чтобы исправить конфигурацию.
user@host# show firewall
family inet {
filter protect-RE {
term ssh-term {
from {
source-address {
192.168.122.0/24;
}
protocol tcp;
destination-port ssh;
}
then accept;
}
term bgp-term {
from {
source-address {
10.2.1.0/24;
}
protocol tcp;
destination-port bgp;
}
then accept;
}
term discard-rest-term {
then {
log;
syslog;
discard;
}
}
}
}
user@host# show interfaces lo0
unit 0 {
family inet {
filter {
input protect-RE;
}
address 127.0.0.1/32;
}
}
После настройки устройства войдите в commit режим конфигурации.
[edit] user@host# commit
Проверки
Чтобы подтвердить, что конфигурация работает правильно, выполните эти задачи:
- Отображение конфигураций фильтра межсетевых экранов без с состоянием состояния
- Проверка фильтра межсетевых экранов служб, протоколов и доверенных источников
- Отображение журналов фильтра межсетевых экранов без с состоянием состояния
Отображение конфигураций фильтра межсетевых экранов без с состоянием состояния
Цель
Проверьте конфигурацию фильтра межсетевых экранов.
Действий
В режиме конфигурации show firewall введите команду и show interfaces lo0 команду.
Смысл
Убедитесь, что в выходных данных показана конфигурация фильтра межсетевых экранов. Кроме того, убедитесь, что термины указаны в порядке тестирования пакетов. Термины в фильтре межсетевых экранов можно перемещать с помощью insert интерфейс командной строки.
Проверка фильтра межсетевых экранов служб, протоколов и доверенных источников
Цель
Проверьте, что действия условий фильтра межсетевых экранов предприняты.
Действий
Отправьте пакеты на устройство, которое соответствует этим терминам. Кроме того, убедитесь, что действия фильтра не принимаются для пакетов, которые не совпадают.
Используйте команду хоста с IP-адресом, который соответствует, чтобы убедиться в том, что можно войти на устройство, используя только SSH от хоста с этим
ssh host-name192.168.122.0/24префиксом адреса.Используйте эту команду, чтобы убедиться, что таблица маршрутов на устройстве не содержит записей с протоколом, кроме
show route summaryDirect,LocalBGP,,Staticили.
Пример выходных данных
command-name
% ssh 192.168.249.71 %ssh host user@host's password: --- JUNOS 6.4-20040518.0 (JSERIES) #0: 2004-05-18 09:27:50 UTC user@host>
command-name
user@host> show route summary
Router ID: 192.168.249.71
inet.0: 34 destinations, 34 routes (33 active, 0 holddown, 1 hidden)
Direct: 10 routes, 9 active
Local: 9 routes, 9 active
BGP: 10 routes, 10 active
Static: 5 routes, 5 active
...
Смысл
Проверьте следующую информацию:
Можно успешно войти на устройство с помощью SSH.
Эта
show route summaryкоманда не отображает другойDirectLocalпротокол, кроме , илиBGPStatic.
Отображение журналов фильтра межсетевых экранов без с состоянием состояния
Цель
Убедитесь, что регистрируются пакеты. Если в термин включено действие или действие, убедитесь, что пакеты, совпадающие с этим термином, занесяются в журнал межсетевых экранов или средство logsyslog регистрации системы.
Действий
В рабочем режиме введите show firewall log команду.
Пример выходных данных
command-name
user@host> show firewall log Log : Time Filter Action Interface Protocol Src Addr Dest Addr 15:11:02 pfe D ge-0/0/0.0 TCP 172.17.28.19 192.168.70.71 15:11:01 pfe D ge-0/0/0.0 TCP 172.17.28.19 192.168.70.71 15:11:01 pfe D ge-0/0/0.0 TCP 172.17.28.19 192.168.70.71 15:11:01 pfe D ge-0/0/0.0 TCP 172.17.28.19 192.168.70.71 ...
Смысл
Каждая запись выходных данных содержит информацию о зарегистрированных пакетах. Проверьте следующую информацию:
В
Timeсоответствии с временем дня пакет фильтруется.Выходные
Filterданные всегдаpfe.В соответствии с настроенным действием этого термина соответствует действиям, предпринятым по пакету
ActionA(примите),D(сбрасывать),R(отклонить).В
Interfaceобласти входящий (входящий) интерфейс, на который поступил пакет, подходит для фильтра.По
Protocolпротоколу в IP-за главе пакета подходит фильтр.Под
Src Addr, исходный адрес в IP-за главе пакета подходит для фильтра.В
Dest Addrсоответствии с тем, адрес назначения в IP-за главе пакета подходит для фильтра.