Juniper SRX - dostęp po ssh z zewn. ip

JunOS / Juniper / Netscreen
Wiadomość
Autor
roberto100
wannabe
wannabe
Posty: 107
Rejestracja: 30 gru 2014, 13:55
Lokalizacja: Pomorskie

Juniper SRX - dostęp po ssh z zewn. ip

#1

#1 Post autor: roberto100 »

Witajcie.
Dopiero zaczynam zabawę z Juniperm/JunOs.
Otrzymałem zdalny dostęp do testów do SRX5400. Mam go wyrutowany na jednym z portów swicha i tylko z tego portu (sieci) mogę się z nim łączyć po ssh.
W sekcji firewall zdefiniowano adresy sieci wewn, z których jest dostęp do firewalla po ssh (zaznaczone na zielono). Poprosiłem o dopisanie dodatkowego zewn. Ip (zaznaczone na czerwono), aby mieć dostęp zdalny do SRX – i niestety mimo wpisania go w sekcji firewall dostępu nie mam.

firewall {
filter filter_re {
term ssh-accept {
from {
source-address {
xxx.xxx.xxx.xxx/32;
xxx.xxx.xxx.xxx/32;

xxx.xxx.xxx.xxx/32;
}
destination-port ssh;
}
then accept;
}
term ping-accept {
from {
protocol icmp;
}
then accept;
}
term deny-all {
then {
discard;

Podpowiedziano mi, żeby powalczyć z polityką untrunst to trust I tak zrobiłem:

from-zone untrust to-zone trust {
policy all {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;

Ale teraz (komenda any) wpuszcza mi cały ruch ze świata bez filtrowania. A chciałbym tylko z tego jednego adresu.

Próbowałem zamiast „any” dopisać ten adres, ale niestety jest błąd: Source address or address_set (xxx.xxx.xxx.xxx/32) not found.

from-zone untrust to-zone trust {
policy all {
match {
source-address xxx.xxx.xxx.xxx/32;
destination-address any;
application any;
}
then {
permit;

Dopisałem też ten adres do książki adresowej, m.in. global - i nic:
security {
address-book {
global {
address trust-ip xxx.xxx.xxx.xxx/32;
}
}


Czy możecie doradzić co robię nie tak?
Ostatnio zmieniony 30 lis 2018, 11:29 przez roberto100, łącznie zmieniany 1 raz.

Szefo89
member
member
Posty: 47
Rejestracja: 10 mar 2016, 17:41

Re: Juniper SRX - dostęp po ssh z zewn. ip

#2

#2 Post autor: Szefo89 »

Musisz stworzyć wpis w address-book danej strefy i dopiero go podłączyć do polityki.

Dobrze:
set security zones security-zone untrust address-book address TESTOWY-WPIS 1.1.1.1/32
set security policies from zone security-zone untrust to-zone trust source-address TESTOWY-WPIS

Źle:
set security policies from zone security-zone untrust to-zone trust source-address 1.1.1.1/32

roberto100
wannabe
wannabe
Posty: 107
Rejestracja: 30 gru 2014, 13:55
Lokalizacja: Pomorskie

Re: Juniper SRX - dostęp po ssh z zewn. ip

#3

#3 Post autor: roberto100 »

Dodałem do książki też nowy wpis i nic
ddress-book {
trust-ip {
address trust-ip xxx.xxx.xxx.xxx/32;

roberto100
wannabe
wannabe
Posty: 107
Rejestracja: 30 gru 2014, 13:55
Lokalizacja: Pomorskie

Re: Juniper SRX - dostęp po ssh z zewn. ip

#4

#4 Post autor: roberto100 »

Po wpisaniu tego:

Dobrze:
set security zones security-zone untrust address-book address TESTOWY-WPIS 1.1.1.1/32

## Warning: Zone specific address books are not allowed when there are global address books defined

roberto100
wannabe
wannabe
Posty: 107
Rejestracja: 30 gru 2014, 13:55
Lokalizacja: Pomorskie

Re: Juniper SRX - dostęp po ssh z zewn. ip

#5

#5 Post autor: roberto100 »

Natomiast takiej komendy nie można wstawić:
set security policies from zone security-zone untrust to-zone trust source-address TESTOWY-WPIS

Szefo89
member
member
Posty: 47
Rejestracja: 10 mar 2016, 17:41

Re: Juniper SRX - dostęp po ssh z zewn. ip

#6

#6 Post autor: Szefo89 »

Pisałem z pamięci, więc mogłem coś pominąć. W przypadku polityki zapomniałem o słowie match i za dużo słów dodałem do zone :)

set security policies from zone untrust to-zone trust source-address match TESTOWY-WPIS

Jeżeli chodzi o address-book, to masz zdefiniowane adresy na poziomie "global", więc albo tam dodaj ten wpis albo usuń tamte wpisy i dodawaj je per zone'a.

roberto100
wannabe
wannabe
Posty: 107
Rejestracja: 30 gru 2014, 13:55
Lokalizacja: Pomorskie

Re: Juniper SRX - dostęp po ssh z zewn. ip

#7

#7 Post autor: roberto100 »

Ok. to się udało, ale.. mam problem z interfejsami dla tej nowej strefy "trust-ip"

zones {
security-zone untrust {
host-inbound-traffic {
system-services {
ping;
ssh;
}
}
interfaces {
reth1.3029;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
ping;
ssh;
}
}
interfaces {
reth6.1428;
}
}
security-zone trust-ip {
host-inbound-traffic {
system-services {
ssh;
}
}
interfaces {
reth1.3029;


Podaje komunikat: Interface reth1.3029 already assigned to another one - bo rzeczywiście taki sam jest dla strefy "untrust"
Jak próbuję zdefiniować inny, np. reth1.3030 - nie przechodzi

Szefo89
member
member
Posty: 47
Rejestracja: 10 mar 2016, 17:41

Re: Juniper SRX - dostęp po ssh z zewn. ip

#8

#8 Post autor: Szefo89 »

Interfejs może być dodany tylko do jednej strefy, więc to normalne że nie możesz go dodać do drugiej. Jeżeli chodzi o dodanie reth1.3030 to nie wiem czemu Ci to nie przechodzi, może być wiele powodów. Czy jest on w ogóle skonfigurowany?

roberto100
wannabe
wannabe
Posty: 107
Rejestracja: 30 gru 2014, 13:55
Lokalizacja: Pomorskie

Re: Juniper SRX - dostęp po ssh z zewn. ip

#9

#9 Post autor: roberto100 »

NIe jest skonfigurowany.
W strefie interfejs mam poza lo:
reth1 {
unit 3029

i
reth6 {
unit 1428

roberto100
wannabe
wannabe
Posty: 107
Rejestracja: 30 gru 2014, 13:55
Lokalizacja: Pomorskie

Re: Juniper SRX - dostęp po ssh z zewn. ip

#10

#10 Post autor: roberto100 »

Dobra już mam.
Zamiast tworzyć oddzielną strefę trust-ip - wystarczyło

from-zone untrust to-zone trust {
policy trust-ip {
match {
source-address trust-ip;
destination-address any;
application any;
}
then {
permit;

roberto100
wannabe
wannabe
Posty: 107
Rejestracja: 30 gru 2014, 13:55
Lokalizacja: Pomorskie

Re: Juniper SRX - dostęp po ssh z zewn. ip

#11

#11 Post autor: roberto100 »

Pytanie czy mogę tworzyć dodatkowe wirtualne interfejsy dla reth6 ? Mam ograniczony dostęp do konfiguracji.
Albo inaczej: na wirtualnym interfejsie reth6.1428 mam wyrutowaną klasę xxx.xxx.xxx.xxx/29

Aby dla poszczególnych ip z tej klasy (na w/w interfejsie) zrobić ograniczenia łączenia się tylko na określone usługi, np. ssh lub www - to też w policy ?

Szefo89
member
member
Posty: 47
Rejestracja: 10 mar 2016, 17:41

Re: Juniper SRX - dostęp po ssh z zewn. ip

#12

#12 Post autor: Szefo89 »

Jeżeli chcesz ograniczyć ruch do siebie (czyli logowanie na ten interfejs) to robisz to w kontekście strefy i tam host-inbound-traffic (możesz ograniczyć per-zone lub dla każdego interfejsu osobno). Jeżeli miałby to być ruch tranzytowy i chciałbyś ciąć w jakiś sposób ruch z tej klasy lub do tej klasy, to wtedy politykami.

Nie rozumiem pytania o dodatkowe wirtualne interfejsy. Możesz mieć praktycznie tyle subinterfejsów co jest VLANów. Każdy taki interfejs (reth6.X) dodajesz do odpowiedniej strefy i instancji routingu.

roberto100
wannabe
wannabe
Posty: 107
Rejestracja: 30 gru 2014, 13:55
Lokalizacja: Pomorskie

Re: Juniper SRX - dostęp po ssh z zewn. ip

#13

#13 Post autor: roberto100 »

Tylko, że z tego co widzę, to chyba nie mam dostępu do tworzenia subinterfejsów ?

Szefo89
member
member
Posty: 47
Rejestracja: 10 mar 2016, 17:41

Re: Juniper SRX - dostęp po ssh z zewn. ip

#14

#14 Post autor: Szefo89 »

A co Ci się pojawia jak próbujesz dodać:
set interfaces interface reth6.1428 description TEST (jeżeli już masz 1428 to spróbuj inny, nowy).

roberto100
wannabe
wannabe
Posty: 107
Rejestracja: 30 gru 2014, 13:55
Lokalizacja: Pomorskie

Re: Juniper SRX - dostęp po ssh z zewn. ip

#15

#15 Post autor: roberto100 »

set interfacesinterfacereth6.1428description
syntax error.

Jak pisałem mam ograniczony dostęp; aczkolwiek jakbym poprosił o stworzenie virtualek - pewnie bym otrzymał...

ODPOWIEDZ