Video: Wrestling RSV Greiz [Official Video] 2024
Obwohl alle Schnittstellen wichtig sind, ist die Loopback (lo0) -Schnittstelle vielleicht am wichtigsten, weil sie die Verbindung zur Routing Engine darstellt, die läuft und überwacht alle Routing-Protokolle. Dieser Artikel enthält das Skelett eines Firewallfilters, der die Routing Engine schützt. Sie können dieses Beispiel als Entwurf verwenden, um den geeigneten Filter für Ihren Router zu entwerfen. Der Filter wird auf die LO0-Schnittstelle des Routers angewendet.
Dieser Filter ist für einen Router bestimmt, der für ein gängiges IPv4-Setup konfiguriert ist:
-
IPv4
-
BGP- und IS-IS-Routing-Protokolle
-
RADIUS-, SSH- und Telnet-Zugriff
-
SNMP NMS-Zugriff
-
NTP
Da Firewall-Filter in der Reihenfolge ausgewertet werden, platzieren Sie zuerst die zeitkritischsten Elemente - die Routing-Protokolle. Akzeptieren Sie den Verkehr von Ihren bekannten BGP-Peers und von den bekannten IS-IS-Nachbarn mit dem AS mit den folgenden Set-Befehlen:
[Firewall-Filter-Routing-Engine bearbeiten] set term bgp-filter aus Quelladresse peer-adresse1 set term bgp-filter aus Quelladresse peer-address2 set term bgp-filter aus dem Protokoll tcp set term bgp-filter aus dem Port bgp set term bgp-filter dann accept
Akzeptiere dann den DNS-Verkehr (für die Auflösung des Hostnamens):
[edit firewall-filter routing-engine] set term dns-filter von source-address Netzwerkadresse set term dns-filter von protocol [tcp udp] set term dns-filter von port domain set term dns-filter dann accept
Weiter, akzeptieren Sie RADIUS-, SSH-, Telnet- und SNMP-NMS-Datenverkehr:
[Firewall-Filter-Routing-Engine bearbeiten] setze Radius-Filter von Quelladresse Radius-Server-Adresse1 setze Radius-Filter von Quelladresse radius-server-address2 set term radius-filter aus dem Quell-Port-Radius set term radius-filter dann accept set term ssh-telnet-filter aus der Quelladresse Netzwerk-Adresse1 set term ssh-telnet -filter von source-address Netzwerk-Adresse2 set term ssh-telnet-Filter von protocol tcp set term ssh-telnet-filter von destination-port [ssh telnet] set term ssh-telnet-filter dann accept set term snmp-filter von source-address network-address1 set term snmp-filter von Quelladresse network-address2 set term snmp-filter von protocol udp set term snmp-filter from destination -port snmp set term snmp-filter then accept
Der letzte zu akzeptierende Datenverkehr stammt von den NTP-Zeitservern und dem ICMP-Protokoll (das IPv4-Fehlermeldungen sendet):
[edit firewall-filter routing-engine] set term NTP-Filter from source-address server-address1 setze ntp-filter von der Quelladresse server-adresse2 setze den ntp-filter von der Quelladresse 127.0. 0. 1 set term ntp-filter vom Protokoll udp set term ntp-filter vom Port ntp set term ntp-filter then akzeptiert set term icmp-filter vom Protokoll icmp set term icmp-filter vom icmp-type [echo -request echo-reply unerreichbare Zeitüberschreitung source-quench] set term icmp-filter then accept
Der letzte Teil des Filters verwirft explizit den gesamten übrigen Datenverkehr:
[edit firewall-filter routing-engine] set term discard -the-rest dann count counter-filename setze den Begriff discard-the-rest dann log setter Begriff discard-the-rest dann syslog setter Begriff discard-the-rest dann ablehnen
Sie müssen den Datei, in die die Syslog-Nachrichten eingefügt werden sollen:
[System bearbeiten] Fred @ Router # Set Syslog-Datei Dateiname Firewall
Und schließlich den Firewall-Filter auf die Loopback-Schnittstelle des Routers anwenden: > [Schnittstellen editieren] fred @ router # set lo0 unit 0 Familie inet Filter Eingabe Routing-Engine
