Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ejemplo: Configuración de un filtro de firewall sin estado para aceptar tráfico de fuentes de confianza

En este ejemplo se muestra cómo crear un filtro de firewall sin estado que protege el motor de enrutamiento del tráfico que se origina en orígenes que no son de confianza.

Requisitos

No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar los filtros de firewall sin estado.

Descripción general

En este ejemplo, se crea un filtro de firewall sin estado denominado protect-RE que descarta todo el tráfico destinado al motor de enrutamiento, excepto los paquetes de protocolo SSH y BGP de orígenes de confianza especificados. En este ejemplo se incluyen los siguientes términos de filtro de firewall:

  • ssh-term: acepta paquetes TCP con una dirección de origen y un puerto de 192.168.122.0/24 destino que especifica SSH.

  • bgp-term: acepta paquetes TCP con una dirección de origen y un puerto de 10.2.1.0/24 destino que especifique BGP.

  • discard-rest-term: para todos los paquetes que no son aceptados por ssh-term o bgp-term, crea un registro de filtro de firewall y registros de registro del sistema y, a continuación, descarta todos los paquetes.

Nota:

Puede mover términos dentro del filtro del firewall mediante el insert comando. Consulte insertar en la Guía del usuario de la CLI de Junos OS.

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y pegue los comandos en la CLI en el nivel de [edit] jerarquía.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Usar el editor de CLI en el modo de configuración la Guía del usuario de la CLI de Junos OS.

Para configurar el filtro de firewall sin estado:

  1. Cree el filtro de firewall sin estado.

  2. Cree el primer término de filtro.

  3. Defina las condiciones de coincidencia del protocolo, el puerto de destino y la dirección de origen para el término.

  4. Defina las acciones para el término.

  5. Cree el segundo término de filtro.

  6. Defina las condiciones de coincidencia del protocolo, el puerto de destino y la dirección de origen para el término.

  7. Defina la acción para el término.

  8. Cree el tercer término de filtro.

  9. Defina la acción para el término.

  10. Aplique el filtro al lado de entrada de la interfaz del motor de enrutamiento.

Resultados

Confirme la configuración introduciendo el comando y el comando desde el show firewallshow interfaces lo0 modo de configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Verificación

Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:

Visualización de configuraciones de filtro de firewall sin estado

Propósito

Compruebe la configuración del filtro de firewall.

Acción

En el modo de configuración, escriba el show firewall comando y el show interfaces lo0 comando.

Significado

Compruebe que el resultado muestra la configuración prevista del filtro de firewall. Además, compruebe que los términos se enumeran en el orden en que desea que se prueben los paquetes. Puede mover términos dentro de un filtro de firewall mediante el comando de la insert CLI.

Verificar un filtro de firewall de servicios, protocolos y fuentes de confianza

Propósito

Compruebe que se han llevado a cabo las acciones de los términos del filtro de firewall.

Acción

Enviar paquetes al dispositivo que coincidan con los términos. Además, compruebe que se han realizado las acciones not de filtrado para los paquetes que no coinciden.

  • Use el ssh host-name comando de un host en una dirección IP que coincida 192.168.122.0/24 para comprobar que puede iniciar sesión en el dispositivo usando solo SSH de un host con este prefijo de dirección.

  • Utilice el show route summary comando para comprobar que la tabla de enrutamiento del dispositivo no contiene ninguna entrada con un protocolo distinto de Direct, Local, BGP, o Static.

Salida de muestra
nombre-comando
nombre-comando

Significado

Verifique la información siguiente:

  • Puede iniciar sesión correctamente en el dispositivo mediante SSH.

  • El show route summary comando no muestra un protocolo distinto de Direct, Local, BGP, o Static.

Visualización de registros de filtro de firewall sin estado

Propósito

Compruebe que se están registrando los paquetes. Si incluyó la log acción o syslog en un término, compruebe que los paquetes que coincidan con el término estén registrados en el registro del firewall o en el servicio de registro del sistema.

Acción

Desde el modo operativo, ingrese el comando show firewall log.

Salida de muestra
nombre-comando

Significado

Cada registro de la salida contiene información sobre el paquete registrado. Verifique la información siguiente:

  • En Time, se muestra la hora del día en que se filtró el paquete.

  • El Filter resultado es siempre pfe.

  • En Action, la acción configurada del término coincide con la acción realizada en el paquete:A (aceptar), D (descartar), R (rechazar).

  • En Interface, la interfaz entrante (entrada) en la que llegó el paquete es adecuada para el filtro.

  • En Protocol, el protocolo del encabezado IP del paquete es adecuado para el filtro.

  • En Src Addr, la dirección de origen del encabezado IP del paquete es adecuada para el filtro.

  • En Dest Addr, la dirección de destino en el encabezado IP del paquete es adecuada para el filtro.