Video: Suspense: Summer Night / Deep Into Darkness / Yellow Wallpaper 2024
Även om alla gränssnitt är viktiga är loopback (lo0) -gränssnittet kanske det viktigaste eftersom det är länken till routningsmotorn som kör och övervakar alla routingsprotokoll. Denna artikel tillhandahåller skelettet av ett brandväggsfilter som skyddar routingmotorn. Du kan använda detta exempel som en ritning för att designa lämpligt filter för din router. Filtret appliceras på routerns lo0-gränssnitt.
Detta filter är för en router som är konfigurerad för en vanlig IPv4-inställning:
-
IPv4
-
BGP och IS-IS-routingsprotokoll
-
RADIUS, SSH och Telnet-åtkomst
-
SNMP NMS-åtkomst
-
NTP
Eftersom firewallfilter utvärderas i ordning placerar du de mest tidskritiska objekten - routingsprotokollen - först. Acceptera trafik från dina kända BGP-kamrater och från de kända IS-IS-grannarna med AS med följande kommandon:
[redigera brandvägsfilterdirigeringsmotor] uppsättningsterm bgp-filter från källadress peer-adress1 uppsättning bgp-filter från källadress peer-adress2 Ange termen bgp-filter från protokollet tcp set term bgp-filter från port bgp set term bgp-filter acceptera sedan
Acceptera sedan DNS-trafik (för värdnamn upplösning):
[redigera brandvägsfilter routing-engine] set term dns-filter från källadress nätverksadress set term dns-filter från protokoll [tcp udp] set term dns-filter från port domän set term dns-filter acceptera sedan
Nästa, acceptera RADIUS, SSH, Telnet och SNMP NMS trafik:
[redigera brandvägsfilterdirigeringsmotor] uppsättningstermilusfilter från källadress Radioserver-adress1 Börvärdesradiusfilter från källadress radius-server-adress2 inställd radiusfilter från källa-radradius uppsättning termiusradiusfilter acceptera sedan uppsättning ssh-telnet-filter från källadressen nätverksadress1 set term ssh-telnet -filter från källadressen nätverksadress2 uppsättning ssh-telnet-filter från protokoll tcp uppsättning ssh-telnet-filter från destination-port [ssh telnet] set term ssh-telnet-filter accepterar sedan set sikt-snmp-filter från källadressen nätverksadress1 set-term smpm-filter från källadressen nätverksadress2 sättningssekvens snmp-filter från protokoll utp set term SNMP-filter från destination -port snmp set term snmp-filter acceptera sedan
Den sista trafiken som ska accepteras är från NTP-tidsservrarna och ICMP-protokollet (som skickar IPv4-felmeddelanden):
[redigera brandvägsfilter-routing-motor] ntp-filter från källadress server-adress1 set term ntp-filter från källadress server-adress2 set term ntp-filter från källadress 127.0. 0. 1 set term ntp-filter från protokoll utp set term ntp-filter från port ntp set term ntp-filter sedan acceptera set term icmp-filter från protokoll icmp set term icmp-filter från icmp-typ [echo -request echo-answer unreachable time-exceeded source-quench] set term icmp-filter acceptera sedan
Filterens slutliga del tar bort all annan trafik:
[redigera brandvägsfilter routing engine] set term discard -återstoden räkna sedan motfilnamn uppsättningstid uppsägning vila sedan logga uppsättning termen kassera-vila sedan syslog uppsättningstid bortkasta vila sedan avvisa
Du måste skapa fil där du ska placera syslog-meddelandena:
[redigera system] fred @ router # ställa in syslog-filen filnamn brandvägg som helst
Och slutligen tillämpa brandvägsfiltret på routerns loopback-gränssnitt: > [redigera gränssnitt] fred @ router # set lo0 unit 0 inet filter input routing engine