Видео: Вебинар vIP №8: Резервирование в сетях LAN. Протокол LACP. Протокол VRRP. 2024
Хотя все интерфейсы важны, интерфейс loopback (lo0), пожалуй, самый важный, поскольку он является ссылкой на движок маршрутизации, который запускает и контролирует все протоколы маршрутизации. В этой статье представлен скелет фильтра межсетевого экрана, который защищает механизм маршрутизации. Этот пример можно использовать в качестве чертежа для создания соответствующего фильтра для вашего маршрутизатора. Фильтр применяется к интерфейсу lo0 маршрутизатора.
Этот фильтр предназначен для маршрутизатора, настроенного для общей настройки IPv4:
-
IPv4
-
Протоколы маршрутизации BGP и IS-IS
-
Доступ к RADIUS, SSH и Telnet
-
SNMP Доступ NMS
-
NTP
Поскольку фильтры брандмауэра оцениваются по порядку, сначала назначьте наиболее важные по времени элементы - протоколы маршрутизации. Принимать трафик от ваших известных одноранговых узлов BGP и от известных соседей IS-IS с помощью AS, используя следующие команды:
[edit firewall filter routing-engine] set term bgp-filter from source-address peer-address1 установить термин bgp-filter из source-address peer-address2 установить термин bgp-фильтр из протокола tcp установить термин bgp-filter из bgp-bbp-filter из bgp-фильтра, затем принять
Затем принять DNS-трафик (для разрешения имени хоста):
[edit firewall-filter routing-engine] set term dns-filter from source-address сетевой адрес установить термин dns-фильтр из протокола [tcp udp] установить термин dns-фильтр из домена домена set term dns-filter, затем принять
Далее, принять RADIUS, SSH, Telnet и SNMP-трафик NMS:
[edit firewall-filter routing-engine] set term radius-filter from source-address radius-server-address1 set term radius-filter from source-address radius-server-address2 установить термин радиус-фильтр из радиуса-источника радиус-значение радиус-фильтр, затем принять заданное значение ssh-telnet-фильтр из исходного адреса network-address1 set term ssh-telnet -filter from source-address network-address2 установить термин ssh-telnet-фильтр из протокола tcp установить термин ssh-telnet-фильтр из порта назначения [ssh telnet] задать термин ssh-telnet-filter затем принять set term snmp-filter from source-address network-address1 set term snmp-filter from source-address network-address2 установить термин snmp-filter из протокола udp установить термин snmp-filter из пункта назначения -port snmp set term snmp-filter, а затем принять
Последний трафик, принимаемый с серверов времени NTP и протокола ICMP (который отправляет сообщения об ошибках IPv4):
[edit firewall-filter routing-engine] установленный термин нтп-фильтр from source-address server-address1 set term ntp-filter from source-address server-address2 установить термин ntp-filter из source-address 127.0. 0. 1 set term ntp-filter из протокола udp set term ntp-filter из порта ntp set term ntp-filter, затем принять заданный термин icmp-фильтр из протокола icmp set term icmp-filter из icmp-type [echo -request echo-reply unreachable time-above source-quench] set term icmp-filter then accept
Последняя часть фильтра явно отбрасывает весь другой трафик:
[edit firewall-filter routing-engine] set term discard -the-rest, а затем count counter-filename установить термин discard-the-rest, затем установить лог-значение term discard-the-rest then syslog set term discard-the-rest then reject
Вам необходимо создать файл для размещения сообщений syslog:
[edit system] fred @ router # set syslog file имя_файла firewall any
И, наконец, примените фильтр брандмауэра к интерфейсу loopback маршрутизатора: > [редактировать интерфейсы] fred @ router # set lo0 unit 0 семейство inet фильтр входной маршрутизатор-двигатель
