Video: Suspense: Summer Night / Deep Into Darkness / Yellow Wallpaper 2024
Selv om alle grænseflader er vigtige, er loopback (lo0) -interfacet måske det vigtigste, fordi det er linket til Routing Engine, som kører og overvåger alle routing protokoller. Denne artikel giver skeletet til et firewallfilter, der beskytter routingmotoren. Du kan bruge dette eksempel som en blueprint til at designe det passende filter til din router. Filtret påføres routerens lo0 interface.
Dette filter er til en router konfigureret til en fælles IPv4 opsætning:
-
IPv4
-
BGP og IS-IS routing protokoller
-
RADIUS, SSH og Telnet adgang
-
SNMP NMS adgang
-
NTP
Fordi firewall filtre vurderes i rækkefølge, placer de mest tidskritiske elementer - ruteprotokollerne - først. Accept trafik fra dine kendte BGP-jævnaldrende og fra de kendte IS-IS naboer med AS'en ved hjælp af følgende sæt kommandoer:
[edit firewall filter routing engine] sæt term bgp filter fra source-adresse peer-adress1 sæt term bgp filter fra source-adresse peer-adresse2 sæt term bgp filter fra protokol tcp sæt term bgp filter fra port bgp sæt term bgp filter accepter derefter
Accepter DNS-trafik (for hostname resolution):
[rediger firewall-filter routing-engine] set term dns-filter fra source-adresse netværksadresse sæt term dns-filter fra protokol [tcp udp] sæt term dns-filter fra port domæne sæt term dns-filter accepter derefter
Næste, acceptere RADIUS, SSH, Telnet og SNMP NMS trafik:
[edit firewall-filter routing-engine] sæt termiusradiusfilter fra kildeadresse radius-server-adresse1 sæt termiusradiusfilter fra kildeadresse radius-server-adresse2 sæt termiusradiusfilter fra kildeportsradius sæt termiusradiusfilter accepter derefter sæt ssh-telnet-filter fra kildeadresse netværksadresse1 sæt term ssh-telnet filter fra source-adresse netværks-adresse2 sæt term ssh-telnet filter fra protokol tcp sæt term ssh-telnet filter fra destination-port [ssh telnet] sæt term ssh-telnet filter accepter derefter sæt sigtet SNMP-filter fra kildeadresse Netværksadresse1 Sætterm SNMP-filter fra kildeadresse Netværksadresse2 Sætterm SNMP-filter fra protokol udp Sæt term SNMP-filter fra destination -port snmp set term snmp-filter accepter derefter
Den sidste trafik, der accepteres, er fra NTP-tidsserverne og ICMP-protokollen (som sender IPv4-fejlmeddelelser):
[edit firewall filter routing engine] ntp-filter fra kildeadresse server-adresse1 sæt term ntp-filter fra kildeadresse server-adresse2 sæt term ntp-filter fra kildeadresse 127.0. 0. 1 sæt term ntp-filter fra protokol udp sæt term ntp-filter fra port ntp sæt term ntp filter derefter accepterer sæt term icmp-filter fra protokol icmp set term icmp-filter fra icmp-type [echo -request echo-reply unreachable time-oversvømmet source-quench] sæt term icmp-filter og accepter derefter
Filterets endelige del kasserer eksplicit alle andre trafik:
[edit firewall filter routing engine] set term discard hvile resten derefter tælle mod-filnavn sæt termen kassere-resten så log sæt termen kassere-resten så syslog sæt termen kassere-resten derefter afvise
Du skal oprette fil til at placere syslog-meddelelserne:
[rediger system] fred @ router # indstil syslog-fil filnavn firewall nogen
Og endelig anvend firewallfiltret til routers loopback-grænseflade: > [rediger grænseflader] fred @ router # sæt lo0 enhed 0 familie inet filter input routing motor
