Video: Suspense: Summer Night / Deep Into Darkness / Yellow Wallpaper 2024
Hoewel alle interfaces belangrijk zijn, is de loopback (lo0) -interface misschien wel de belangrijkste omdat het de link is naar de Routing Engine, die draait en bewaakt alle routeringsprotocollen. Dit artikel biedt het skelet van een firewallfilter dat de routeringsengine beschermt. U kunt dit voorbeeld gebruiken als een blauwdruk om het juiste filter voor uw router te ontwerpen. Het filter wordt toegepast op de lo0-interface van de router.
Dit filter is voor een router die is geconfigureerd voor een algemene IPv4-configuratie:
-
IPv4
-
BGP- en IS-IS-routeringsprotocollen
-
RADIUS-, SSH- en Telnet-toegang
-
SNMP NMS-toegang
-
NTP
Omdat firewallfilters op volgorde worden geëvalueerd, plaatst u eerst de meest tijdkritieke items - de routeringsprotocollen. Accepteer verkeer van uw bekende BGP-peers en van de bekende IS-IS-buren met de AS met behulp van de volgende ingestelde opdrachten:
[bewerk firewall filter routing-engine] stel term bgp-filter in van bron-adres peer-adres1 stel term bgp-filter in van bron-adres peer-adres2 stel term bgp-filter in van protocol tcp stel term bgp-filter in van poort bgp stel term bgp-filter in en accepteer vervolgens
Accepteer vervolgens DNS-verkeer (voor hostnaamresolutie):
[edit firewall-filter routing-engine] stel term dns-filter in van bronadres netwerkadres stel term dns-filter in van protocol [tcp udp] stel term dns-filter in van poort domein stel term dns-filter in en accepteer vervolgens
Vervolgens, accepteer RADIUS, SSH, Telnet en SNMP NMS-verkeer:
[edit firewall-filter routing-engine] set term radius-filter van bronadres radius-server-adres1 set termijn straal-filter van bronadres radius-server-adres2 set termijn straal-filter van bron-poort radius set termijn straal-filter accepteer dan set termijn ssh-telnet-filter van bronadres netwerk-adres1 stel term ssh-telnet in -filter van bronadres netwerk-adres2 stel termijn ssh-telnet-filter in van protocol tcp stel termijn ssh-telnet-filter in van bestemmingshaven [ssh telnet] stel term ssh-telnet-filter in en accepteer set term snmp-filter van bronadres netwerkadres1 stel trefwoord snmp-filter in van bronadres netwerkadres2 stel term snmp-filter in van protocol udp stel term snmp-filter in van bestemming -port snmp set term snmp-filter accepteer dan
Het laatste te accepteren verkeer is van de NTP-tijdservers en het ICMP-protocol (dat IPv4-foutmeldingen verzendt):
[edit firewall-filter routing-engine] ingestelde termijn ntp-filter van bronadres serveradres1 stel ntp-filter in van bronadres serveradres2 stel term ntp-filter in van bronadres 127.0. 0. 1 setterm ntp-filter van protocol udp setterm ntp-filter van poort ntp setterm ntp-filter accepteer dan ingestelde term icmp-filter uit protocol icmp settermijn icmp-filter uit icmp-type [echo -request echo-antwoord onbereikbare tijd overschreden bron-quench] set termijn icmp-filter accepteer vervolgens
Het laatste deel van het filter gooit expliciet alle ander verkeer weg:
[edit firewall-filter routing-engine] set term discard -the-rest tellen dan tegen-bestandsnaam stel term weg - de rust dan logset term negeer de rest dan syslog set term gooi-de-rest dan afwijzen
Je moet de bestand om de syslog-berichten te plaatsen:
[bewerk systeem] fred @ router # stel syslog-bestand in bestandsnaam firewall any
En pas tenslotte het firewall-filter toe op de loopback-interface van de router: > [bewerk interfaces] fred @ router # set lo0 unit 0 familie inet filter invoer routing-engine