Часто бывает необходимо заблокировать определенные «подсети» или наоборот разрешить определенные IP адреса на доступ в некий VLAN. Для этого используем механизм Firewall Filter.
Например, мы хотим разрешить только двум компьютерам доступ в наш VLAN.
Создаем policy, в котором перечисляем разрешенные адреса компьютеров, после чего создаем непосредственно сам фильтр.
policy-options {
prefix-list whitelist-ip {
192.168.1.10/32;
192.168.1.10/32;
}
}
firewall {
family inet {
filter whitelist-ip-allow {
interface-specific;
term allow {
from {
destination-prefix-list {
whitelist-ip;
}
}
then accept;
}
term other {
then {
discard;
}
}
}
}
}
Firewall filter может включать в себя несколько term, которые выполняются последовательно.
Следующим шагом, мы прикручиваем фильтр, например на наш интерфейс (VLAN)
vlan {
unit 30 {
family inet {
filter {
input whitelist-ip-allow;
}
address 10.1.30.1/24;
}
}
}
Собственно все.