CCIE.pl

Witajcie.
Dopiero zaczynam zabawę z Juniperm/JunOs.
Otrzymałem zdalny dostęp do testów do SRX5400. Mam go wyrutowany na jednym z portów swicha i tylko z tego portu (sieci) mogę się z nim łączyć po ssh.
W sekcji firewall zdefiniowano adresy sieci wewn, z których jest dostęp do firewalla po ssh (zaznaczone na zielono). Poprosiłem o dopisanie dodatkowego zewn. Ip (zaznaczone na czerwono), aby mieć dostęp zdalny do SRX – i niestety mimo wpisania go w sekcji firewall dostępu nie mam.

firewall {
filter filter_re {
term ssh-accept {
from {
source-address {
xxx.xxx.xxx.xxx/32;
xxx.xxx.xxx.xxx/32;
xxx.xxx.xxx.xxx/32;
}
destination-port ssh;
}
then accept;
}
term ping-accept {
from {
protocol icmp;
}
then accept;
}
term deny-all {
then {
discard;

Podpowiedziano mi, żeby powalczyć z polityką untrunst to trust I tak zrobiłem:

from-zone untrust to-zone trust {
policy all {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;

Ale teraz (komenda any) wpuszcza mi cały ruch ze świata bez filtrowania. A chciałbym tylko z tego jednego adresu.

Próbowałem zamiast „any” dopisać ten adres, ale niestety jest błąd: Source address or address_set (xxx.xxx.xxx.xxx/32) not found.

from-zone untrust to-zone trust {
policy all {
match {
source-address xxx.xxx.xxx.xxx/32;
destination-address any;
application any;
}
then {
permit;

Dopisałem też ten adres do książki adresowej, m.in. global - i nic:
security {
address-book {
global {
address trust-ip xxx.xxx.xxx.xxx/32;
}
}


Czy możecie doradzić co robię nie tak?

Musisz stworzyć wpis w address-book danej strefy i dopiero go podłączyć do polityki.

Dobrze:
set security zones security-zone untrust address-book address TESTOWY-WPIS 1.1.1.1/32
set security policies from zone security-zone untrust to-zone trust source-address TESTOWY-WPIS

Źle:
set security policies from zone security-zone untrust to-zone trust source-address 1.1.1.1/32

Dodałem do książki też nowy wpis i nic
ddress-book {
trust-ip {
address trust-ip xxx.xxx.xxx.xxx/32;

Po wpisaniu tego:

Dobrze:
set security zones security-zone untrust address-book address TESTOWY-WPIS 1.1.1.1/32

## Warning: Zone specific address books are not allowed when there are global address books defined

Natomiast takiej komendy nie można wstawić:
set security policies from zone security-zone untrust to-zone trust source-address TESTOWY-WPIS

Pisałem z pamięci, więc mogłem coś pominąć. W przypadku polityki zapomniałem o słowie match i za dużo słów dodałem do zone

set security policies from zone untrust to-zone trust source-address match TESTOWY-WPIS

Jeżeli chodzi o address-book, to masz zdefiniowane adresy na poziomie "global", więc albo tam dodaj ten wpis albo usuń tamte wpisy i dodawaj je per zone'a.

Ok. to się udało, ale.. mam problem z interfejsami dla tej nowej strefy "trust-ip"

zones {
security-zone untrust {
host-inbound-traffic {
system-services {
ping;
ssh;
}
}
interfaces {
reth1.3029;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
ping;
ssh;
}
}
interfaces {
reth6.1428;
}
}
security-zone trust-ip {
host-inbound-traffic {
system-services {
ssh;
}
}
interfaces {
reth1.3029;


Podaje komunikat: Interface reth1.3029 already assigned to another one - bo rzeczywiście taki sam jest dla strefy "untrust"
Jak próbuję zdefiniować inny, np. reth1.3030 - nie przechodzi

Interfejs może być dodany tylko do jednej strefy, więc to normalne że nie możesz go dodać do drugiej. Jeżeli chodzi o dodanie reth1.3030 to nie wiem czemu Ci to nie przechodzi, może być wiele powodów. Czy jest on w ogóle skonfigurowany?

NIe jest skonfigurowany.
W strefie interfejs mam poza lo:
reth1 {
unit 3029

i
reth6 {
unit 1428

Dobra już mam.
Zamiast tworzyć oddzielną strefę trust-ip - wystarczyło

from-zone untrust to-zone trust {
policy trust-ip {
match {
source-address trust-ip;
destination-address any;
application any;
}
then {
permit;

Pytanie czy mogę tworzyć dodatkowe wirtualne interfejsy dla reth6 ? Mam ograniczony dostęp do konfiguracji.
Albo inaczej: na wirtualnym interfejsie reth6.1428 mam wyrutowaną klasę xxx.xxx.xxx.xxx/29

Aby dla poszczególnych ip z tej klasy (na w/w interfejsie) zrobić ograniczenia łączenia się tylko na określone usługi, np. ssh lub www - to też w policy ?

Jeżeli chcesz ograniczyć ruch do siebie (czyli logowanie na ten interfejs) to robisz to w kontekście strefy i tam host-inbound-traffic (możesz ograniczyć per-zone lub dla każdego interfejsu osobno). Jeżeli miałby to być ruch tranzytowy i chciałbyś ciąć w jakiś sposób ruch z tej klasy lub do tej klasy, to wtedy politykami.

Nie rozumiem pytania o dodatkowe wirtualne interfejsy. Możesz mieć praktycznie tyle subinterfejsów co jest VLANów. Każdy taki interfejs (reth6.X) dodajesz do odpowiedniej strefy i instancji routingu.

Tylko, że z tego co widzę, to chyba nie mam dostępu do tworzenia subinterfejsów ?

A co Ci się pojawia jak próbujesz dodać:
set interfaces interface reth6.1428 description TEST (jeżeli już masz 1428 to spróbuj inny, nowy).

set interfacesinterfacereth6.1428description
syntax error.

Jak pisałem mam ograniczony dostęp; aczkolwiek jakbym poprosił o stworzenie virtualek - pewnie bym otrzymał...