Nesta página
Exemplo: Configuração de um filtro para limitar o acesso TCP a uma porta com base em uma lista de prefixo
Este exemplo mostra como configurar um filtro de firewall sem estado padrão que limita determinado tráfego de TCP e protocolo de mensagem de controle de Internet (ICMP) destinado ao Mecanismo de Roteamento especificando uma lista de fontes de prefixo que contêm pares BGP permitidos.
Requisitos
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar este exemplo.
Visão geral
Neste exemplo, você cria um filtro de firewall sem estado que bloqueia todas as tentativas de conexão de TCP de portar 179 de todos os solicitantes, exceto os pares BGP que têm um prefixo especificado.
Topologia
Uma lista de prefixo de origem é criada que especifica a lista de prefixos de origem que contêm peers BGP permitidos.plist_bgp179
O filtro de firewall stateless corresponde a todos os pacotes da lista de prefixo de origem à porta de destino número 179.filter_bgp179plist_bgp179
Configuração
Configuração rápida da CLI
Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere os detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e cole os comandos no CLI no nível de hierarquia.[edit]
set policy-options prefix-list plist_bgp179 apply-path "protocols bgp group <*> neighbor <*>" set firewall family inet filter filter_bgp179 term 1 from source-address 0.0.0.0/0 set firewall family inet filter filter_bgp179 term 1 from source-prefix-list plist_bgp179 except set firewall family inet filter filter_bgp179 term 1 from destination-port bgp set firewall family inet filter filter_bgp179 term 1 then reject set firewall family inet filter filter_bgp179 term 2 then accept set interfaces lo0 unit 0 family inet filter input filter_bgp179 set interfaces lo0 unit 0 family inet address 127.0.0.1/32
Configure o filtro
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, consulte Usando o Editor de CLI no modo de configuração no Guia de usuário do Junos OS CLI.Use o editor de CLI no modo de configuraçãohttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html
Para configurar o filtro:
Expanda a lista de prefixos para incluir todos os prefixos apontados pelo grupo de peer BGP definido por .bgp179protocols bgp group <*> neighbor <*>
[edit policy-options prefix-list plist_bgp179] user@host# set apply-path " protocols bgp group <*> neighbor <*>"
Defina o termo filtro que rejeita as tentativas de conexão de TCP de portar 179 de todos os solicitantes, exceto os pares BGP especificados.
[edit firewall family inet filter filter_bgp179] user@host# set term term1 from source-address 0.0.0.0/0 user@host# set term term1 from source-prefix-list bgp179 except user@host# set term term1 from destination-port bgp user@host# set term term1 then reject
Definir o outro termo filtro para aceitar todos os pacotes.
[edit firewall family inet filter filter_bgp179] user@host# set term term2 then accept
Aplique o filtro de firewall na interface de loopback.
[edit interfaces lo0 unit 0 family inet] user@host# set filter input filter_bgp179 user@host# set address 127.0.0.1/32
Resultados
A partir do modo de configuração, confirme sua configuração entrando no , e comandos.show firewallshow interfacesshow policy-options Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
user@host# show firewall family inet { filter filter_bgp179 { term 1 { from { source-address { 0.0.0.0/0; } source-prefix-list { plist_bgp179 except; } destination-port bgp; } then { reject; } } term 2 { then { accept; } } } }
user@host# show interfaces lo0 { unit 0 { family inet { filter { input filter_bgp179; } address 127.0.0.1/32; } } }
user@host# show policy-options prefix-list plist_bgp179 { apply-path "protocols bgp group <*> neighbor <*>"; }
Se você terminar de configurar o dispositivo, entre no modo de configuração.commit
Verificação
Confirme se a configuração está funcionando corretamente.
Exibição do filtro de firewall aplicado à interface de loopback
Propósito
Verifique se o filtro de firewall é aplicado ao tráfego de entrada IPv4 na interface lógica.filter_bgp179lo0.0
Ação
Use o comando para interface lógica e inclua a opção .show interfaces statistics operational mode
lo0.0detail Sob a seção da seção de saída de comando, o campo exibe o nome do filtro de firewall stateless aplicado à interface lógica na direção de entrada.Protocol inetInput Filters
[edit] user@host> show interfaces statistics lo0.0 detail Logical interface lo0.0 (Index 321) (SNMP ifIndex 16) (Generation 130) Flags: SNMP-Traps Encapsulation: Unspecified Traffic statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Local statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Transit statistics: Input bytes : 0 0 bps Output bytes : 0 0 bps Input packets: 0 0 pps Output packets: 0 0 pps Protocol inet, MTU: Unlimited, Generation: 145, Route table: 0 Flags: Sendbcast-pkt-to-re Input Filters: filter_bgp179 Addresses, Flags: Primary Destination: Unspecified, Local: 127.0.0.1, Broadcast: Unspecified, Generation: 138