Strona 2 z 2

Re: Juniper SRX - dostęp po ssh z zewn. ip

: 30 lis 2018, 15:27
autor: Szefo89
Znowu z pamięci pisałem, sprawdziłem i od razu wchodzisz do interfejsu, więc spróbuj zrobić
set interfaces reth6.1428 description TEST

Ale jeżeli wycięto Ci dostępy, to niewiele tutaj możemy ugrać.

Re: Juniper SRX - dostęp po ssh z zewn. ip

: 30 lis 2018, 16:07
autor: roberto100
Niestety - to samo...
Jeżeli chodzi o "set" Mam dostęp tylko do:

> access Network access configuration
> access-profile Access profile for this instance
> applications Define applications by protocol characteristics
+ apply-groups Groups from which to inherit configuration data
+ apply-groups-except Don't inherit configuration data from these groups
> schedulers Security scheduler
> security Security configuration


Chyba pozostaje mi tylko "ciąć w jakiś sposób ruch z tej klasy lub do tej klasy, to politykami. "

Mógłbyś podpowiedzieć:
załóżmy, że w tej klasie adresowej na reth6 vlan-id 1428 wyrutowanej na swichu xxx.xxx.xxx.xxx/29 chciałbym dla jednego ip z tej klasy przyciąć ruch tylko dla http to politykami ?

Re: Juniper SRX - dostęp po ssh z zewn. ip

: 30 lis 2018, 18:21
autor: Szefo89
Tak, dokładnie, tranzytowy ruch przycina się przez polityki. Musisz dodać do strefy trust odpowiednie wpisy, typu
set security zones security-zone trust address-book address WEBSERVER 1.1.1.1/32

A później:
set security policies from-zone untrust to-zone trust policy TEST-1 match source-destination any
set security policies from-zone untrust to-zone trust policy TEST-1 match destination-address WEBSERVER
set security policies from-zone untrust to-zone trust policy TEST-1 match application junos-http
set security policies from-zone untrust to-zone trust policy TEST-1 then permit

Powyższa polityka spowoduje ze ze strefy untrust do strefy trust będzie przepuszczony tylko ruch do adresu 1.1.1.1 (kryjący się pod nazwa WEBSERVER) na porcie 80 (junos-http).

Re: Juniper SRX - dostęp po ssh z zewn. ip

: 03 gru 2018, 09:50
autor: roberto100
Ok. Dzięki - zaczynam zabawę :)

Teraz mam tak, że ze strefy trust to untrust (z ip za firewallem zezwalam jednemu z hostów wewnątrz (xxx.xxx.xxx.xxx/32) na wyjście na świat tylko dla http) - polityka WWW
Ale wyżej jest polityka ALL - co jak sądzę ma znaczenie, gdyż ona najpierw przepuszcza wszystko dla wszystkich. Można je odwrócić, że najpierw czytana jest regula WWW a później ew. all ? Czy lepiej skasować ALL ?

policies {
from-zone trust to-zone untrust {
policy all {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
policy WWW {
match {
source-address WWW;
destination-address any;
application [ junos-http ];

}
then {
permit;

Re: Juniper SRX - dostęp po ssh z zewn. ip

: 03 gru 2018, 12:02
autor: Szefo89
Możesz zmienić kolejność, co będzie miało tylko kosmetyczne znaczenie (później w show security flow session zobaczysz do jakiej sesji wpadła polityka). Tak czy owak zostanie wszystko przepuszczone. Jeżeli chcesz mieć po kolei to zrób tak:

edit security policies from-zone trust to-zone untrust
insert policy WWW before policy all

Jeżeli potrzebujesz żeby ten host miał wyjście tylko po HTTP, to usuń całkowicie politykę all i zostaw tylko tą WWW.