Video: Collecting for Bonsai: MONSTER American Persimmon 2017!!! 2024
Walaupun semua antara muka adalah penting, antaramuka loopback (lo0) mungkin yang paling penting kerana ia adalah pautan kepada Engine Routing, yang berjalan dan memantau semua protokol penghalaan. Artikel ini menyediakan rangka penapis firewall yang melindungi Engine Routing. Anda boleh menggunakan contoh ini sebagai pelan tindakan untuk merancang penapis yang sesuai untuk penghala anda. Penapis digunakan untuk antaramuka lo0 router.
Penapis ini adalah untuk penghala yang dikonfigurasi untuk persediaan IPv4 yang sama:
-
IPv4
-
BGP dan IS-IS routing protokol
-
RADIUS, SSH dan akses Telnet
-
SNMP Akses NMS
-
NTP
Oleh kerana penapis firewall dinilai secara tertib, letakkan item yang paling kritikal - protokol penghalaan - terlebih dahulu. Terima trafik dari rakan BGP anda yang dikenali dan dari jiran IS-IS yang diketahui dengan AS menggunakan perintah set berikut:
[edit enjin penghalaan penapis firewall] tetapkan istilah bgp-penapis dari alamat sumber peer-address1 set term bgp-filter dari source-address tetapkan istilah bgp-penapis dari protokol tcp set bgp-penapis istilah dari port bgp tetapkan istilah bgp-filter kemudian terima
Kemudian terima trafik DNS (untuk resolusi nama host):
[edit firewall-filter routing-engine] tetapkan istilah dns-filter daripada alamat sumber rangkaian-alamat set dns-filter terma daripada protokol [tcp udp] tetapkan dns-filter dari pelabuhan domain set dns-filter istilah kemudian terima
menerima RADIUS, SSH, Telnet, dan lalu lintas SNMP NMS:
[edit routing-filter engine-filter] tetapkan radius-filter istilah dari alamat sumber radius-server-address1 set radius-filter term from source-address radius-server-address2 set radius-penapis istilah dari radius sumber-port radius set-radius penapis maka terima set term ssh-telnet-filter dari source-address network-address1 set term ssh-telnet -filter dari source-address network-address2 set term ssh-telnet-filter from protocol tcp set term ssh-telnet-filter from destination-port [ssh telnet] set term ssh-telnet-filter then accept set penapis snmp istilah daripada alamat sumber rangkaian-alamat1 tetapkan penapis snmp istilah dari alamat sumber rangkaian-alamat2 set istilah snmp-filter dari protokol udp set term snmp-filter dari destinasi -port snmp menetapkan istilah snmp-filter kemudian menerima
Lalu lintas terakhir yang diterima adalah dari pelayan waktu NTP dan protokol ICMP (yang menghantar mesej ralat IPv4):
[edit routing-filter routing-engine] set term penapis ntp dari source-address server-address1 set term ntp-filter from source-address server-address2 set term ntp-filter from source-address 127.0. 1 set term ntp-filter dari protocol udp set term ntp-filter from port ntp set term ntp-filter then accept set term icmp-filter from protocol icmp set icmp-filter term from icmp-type [echo -meminta echo-reply yang tidak dapat dicapai waktu-melebihi sumber-quench] set icmp-penapis istilah kemudian terima
Bahagian akhir penapis secara jelas membuang semua lalu lintas yang lain:
[edit firewall-filter routing-engine] set term discard - sisanya kemudian mengira counter-filename set term discard-the-rest kemudian log set term discard-the-rest kemudian syslog set term discard-the-rest then reject
You need to create the fail di mana untuk meletakkan mesej syslog:
[edit system] fred @ router # set syslog file filename firewall any
Dan akhirnya, gunakan penapis firewall ke antaramuka loopback router: > [sunting antara muka] fred @ router # set lo0 unit 0 penapis inet masuk keluarga penapis enjin
