Juniper SRX - dostęp po ssh z zewn. ip
-
- wannabe
- Posty: 107
- Rejestracja: 30 gru 2014, 13:55
- Lokalizacja: Pomorskie
Juniper SRX - dostęp po ssh z zewn. ip
Witajcie.
Dopiero zaczynam zabawę z Juniperm/JunOs.
Otrzymałem zdalny dostęp do testów do SRX5400. Mam go wyrutowany na jednym z portów swicha i tylko z tego portu (sieci) mogę się z nim łączyć po ssh.
W sekcji firewall zdefiniowano adresy sieci wewn, z których jest dostęp do firewalla po ssh (zaznaczone na zielono). Poprosiłem o dopisanie dodatkowego zewn. Ip (zaznaczone na czerwono), aby mieć dostęp zdalny do SRX – i niestety mimo wpisania go w sekcji firewall dostępu nie mam.
firewall {
filter filter_re {
term ssh-accept {
from {
source-address {
xxx.xxx.xxx.xxx/32;
xxx.xxx.xxx.xxx/32;
xxx.xxx.xxx.xxx/32;
}
destination-port ssh;
}
then accept;
}
term ping-accept {
from {
protocol icmp;
}
then accept;
}
term deny-all {
then {
discard;
Podpowiedziano mi, żeby powalczyć z polityką untrunst to trust I tak zrobiłem:
from-zone untrust to-zone trust {
policy all {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
Ale teraz (komenda any) wpuszcza mi cały ruch ze świata bez filtrowania. A chciałbym tylko z tego jednego adresu.
Próbowałem zamiast „any” dopisać ten adres, ale niestety jest błąd: Source address or address_set (xxx.xxx.xxx.xxx/32) not found.
from-zone untrust to-zone trust {
policy all {
match {
source-address xxx.xxx.xxx.xxx/32;
destination-address any;
application any;
}
then {
permit;
Dopisałem też ten adres do książki adresowej, m.in. global - i nic:
security {
address-book {
global {
address trust-ip xxx.xxx.xxx.xxx/32;
}
}
Czy możecie doradzić co robię nie tak?
Dopiero zaczynam zabawę z Juniperm/JunOs.
Otrzymałem zdalny dostęp do testów do SRX5400. Mam go wyrutowany na jednym z portów swicha i tylko z tego portu (sieci) mogę się z nim łączyć po ssh.
W sekcji firewall zdefiniowano adresy sieci wewn, z których jest dostęp do firewalla po ssh (zaznaczone na zielono). Poprosiłem o dopisanie dodatkowego zewn. Ip (zaznaczone na czerwono), aby mieć dostęp zdalny do SRX – i niestety mimo wpisania go w sekcji firewall dostępu nie mam.
firewall {
filter filter_re {
term ssh-accept {
from {
source-address {
xxx.xxx.xxx.xxx/32;
xxx.xxx.xxx.xxx/32;
xxx.xxx.xxx.xxx/32;
}
destination-port ssh;
}
then accept;
}
term ping-accept {
from {
protocol icmp;
}
then accept;
}
term deny-all {
then {
discard;
Podpowiedziano mi, żeby powalczyć z polityką untrunst to trust I tak zrobiłem:
from-zone untrust to-zone trust {
policy all {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
Ale teraz (komenda any) wpuszcza mi cały ruch ze świata bez filtrowania. A chciałbym tylko z tego jednego adresu.
Próbowałem zamiast „any” dopisać ten adres, ale niestety jest błąd: Source address or address_set (xxx.xxx.xxx.xxx/32) not found.
from-zone untrust to-zone trust {
policy all {
match {
source-address xxx.xxx.xxx.xxx/32;
destination-address any;
application any;
}
then {
permit;
Dopisałem też ten adres do książki adresowej, m.in. global - i nic:
security {
address-book {
global {
address trust-ip xxx.xxx.xxx.xxx/32;
}
}
Czy możecie doradzić co robię nie tak?
Ostatnio zmieniony 30 lis 2018, 11:29 przez roberto100, łącznie zmieniany 1 raz.
Re: Juniper SRX - dostęp po ssh z zewn. ip
Musisz stworzyć wpis w address-book danej strefy i dopiero go podłączyć do polityki.
Dobrze:
set security zones security-zone untrust address-book address TESTOWY-WPIS 1.1.1.1/32
set security policies from zone security-zone untrust to-zone trust source-address TESTOWY-WPIS
Źle:
set security policies from zone security-zone untrust to-zone trust source-address 1.1.1.1/32
Dobrze:
set security zones security-zone untrust address-book address TESTOWY-WPIS 1.1.1.1/32
set security policies from zone security-zone untrust to-zone trust source-address TESTOWY-WPIS
Źle:
set security policies from zone security-zone untrust to-zone trust source-address 1.1.1.1/32
-
- wannabe
- Posty: 107
- Rejestracja: 30 gru 2014, 13:55
- Lokalizacja: Pomorskie
Re: Juniper SRX - dostęp po ssh z zewn. ip
Dodałem do książki też nowy wpis i nic
ddress-book {
trust-ip {
address trust-ip xxx.xxx.xxx.xxx/32;
ddress-book {
trust-ip {
address trust-ip xxx.xxx.xxx.xxx/32;
-
- wannabe
- Posty: 107
- Rejestracja: 30 gru 2014, 13:55
- Lokalizacja: Pomorskie
Re: Juniper SRX - dostęp po ssh z zewn. ip
Po wpisaniu tego:
Dobrze:
set security zones security-zone untrust address-book address TESTOWY-WPIS 1.1.1.1/32
## Warning: Zone specific address books are not allowed when there are global address books defined
Dobrze:
set security zones security-zone untrust address-book address TESTOWY-WPIS 1.1.1.1/32
## Warning: Zone specific address books are not allowed when there are global address books defined
-
- wannabe
- Posty: 107
- Rejestracja: 30 gru 2014, 13:55
- Lokalizacja: Pomorskie
Re: Juniper SRX - dostęp po ssh z zewn. ip
Natomiast takiej komendy nie można wstawić:
set security policies from zone security-zone untrust to-zone trust source-address TESTOWY-WPIS
set security policies from zone security-zone untrust to-zone trust source-address TESTOWY-WPIS
Re: Juniper SRX - dostęp po ssh z zewn. ip
Pisałem z pamięci, więc mogłem coś pominąć. W przypadku polityki zapomniałem o słowie match i za dużo słów dodałem do zone
set security policies from zone untrust to-zone trust source-address match TESTOWY-WPIS
Jeżeli chodzi o address-book, to masz zdefiniowane adresy na poziomie "global", więc albo tam dodaj ten wpis albo usuń tamte wpisy i dodawaj je per zone'a.
set security policies from zone untrust to-zone trust source-address match TESTOWY-WPIS
Jeżeli chodzi o address-book, to masz zdefiniowane adresy na poziomie "global", więc albo tam dodaj ten wpis albo usuń tamte wpisy i dodawaj je per zone'a.
-
- wannabe
- Posty: 107
- Rejestracja: 30 gru 2014, 13:55
- Lokalizacja: Pomorskie
Re: Juniper SRX - dostęp po ssh z zewn. ip
Ok. to się udało, ale.. mam problem z interfejsami dla tej nowej strefy "trust-ip"
zones {
security-zone untrust {
host-inbound-traffic {
system-services {
ping;
ssh;
}
}
interfaces {
reth1.3029;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
ping;
ssh;
}
}
interfaces {
reth6.1428;
}
}
security-zone trust-ip {
host-inbound-traffic {
system-services {
ssh;
}
}
interfaces {
reth1.3029;
Podaje komunikat: Interface reth1.3029 already assigned to another one - bo rzeczywiście taki sam jest dla strefy "untrust"
Jak próbuję zdefiniować inny, np. reth1.3030 - nie przechodzi
zones {
security-zone untrust {
host-inbound-traffic {
system-services {
ping;
ssh;
}
}
interfaces {
reth1.3029;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
ping;
ssh;
}
}
interfaces {
reth6.1428;
}
}
security-zone trust-ip {
host-inbound-traffic {
system-services {
ssh;
}
}
interfaces {
reth1.3029;
Podaje komunikat: Interface reth1.3029 already assigned to another one - bo rzeczywiście taki sam jest dla strefy "untrust"
Jak próbuję zdefiniować inny, np. reth1.3030 - nie przechodzi
Re: Juniper SRX - dostęp po ssh z zewn. ip
Interfejs może być dodany tylko do jednej strefy, więc to normalne że nie możesz go dodać do drugiej. Jeżeli chodzi o dodanie reth1.3030 to nie wiem czemu Ci to nie przechodzi, może być wiele powodów. Czy jest on w ogóle skonfigurowany?
-
- wannabe
- Posty: 107
- Rejestracja: 30 gru 2014, 13:55
- Lokalizacja: Pomorskie
Re: Juniper SRX - dostęp po ssh z zewn. ip
NIe jest skonfigurowany.
W strefie interfejs mam poza lo:
reth1 {
unit 3029
i
reth6 {
unit 1428
W strefie interfejs mam poza lo:
reth1 {
unit 3029
i
reth6 {
unit 1428
-
- wannabe
- Posty: 107
- Rejestracja: 30 gru 2014, 13:55
- Lokalizacja: Pomorskie
Re: Juniper SRX - dostęp po ssh z zewn. ip
Dobra już mam.
Zamiast tworzyć oddzielną strefę trust-ip - wystarczyło
from-zone untrust to-zone trust {
policy trust-ip {
match {
source-address trust-ip;
destination-address any;
application any;
}
then {
permit;
Zamiast tworzyć oddzielną strefę trust-ip - wystarczyło
from-zone untrust to-zone trust {
policy trust-ip {
match {
source-address trust-ip;
destination-address any;
application any;
}
then {
permit;
-
- wannabe
- Posty: 107
- Rejestracja: 30 gru 2014, 13:55
- Lokalizacja: Pomorskie
Re: Juniper SRX - dostęp po ssh z zewn. ip
Pytanie czy mogę tworzyć dodatkowe wirtualne interfejsy dla reth6 ? Mam ograniczony dostęp do konfiguracji.
Albo inaczej: na wirtualnym interfejsie reth6.1428 mam wyrutowaną klasę xxx.xxx.xxx.xxx/29
Aby dla poszczególnych ip z tej klasy (na w/w interfejsie) zrobić ograniczenia łączenia się tylko na określone usługi, np. ssh lub www - to też w policy ?
Albo inaczej: na wirtualnym interfejsie reth6.1428 mam wyrutowaną klasę xxx.xxx.xxx.xxx/29
Aby dla poszczególnych ip z tej klasy (na w/w interfejsie) zrobić ograniczenia łączenia się tylko na określone usługi, np. ssh lub www - to też w policy ?
Re: Juniper SRX - dostęp po ssh z zewn. ip
Jeżeli chcesz ograniczyć ruch do siebie (czyli logowanie na ten interfejs) to robisz to w kontekście strefy i tam host-inbound-traffic (możesz ograniczyć per-zone lub dla każdego interfejsu osobno). Jeżeli miałby to być ruch tranzytowy i chciałbyś ciąć w jakiś sposób ruch z tej klasy lub do tej klasy, to wtedy politykami.
Nie rozumiem pytania o dodatkowe wirtualne interfejsy. Możesz mieć praktycznie tyle subinterfejsów co jest VLANów. Każdy taki interfejs (reth6.X) dodajesz do odpowiedniej strefy i instancji routingu.
Nie rozumiem pytania o dodatkowe wirtualne interfejsy. Możesz mieć praktycznie tyle subinterfejsów co jest VLANów. Każdy taki interfejs (reth6.X) dodajesz do odpowiedniej strefy i instancji routingu.
-
- wannabe
- Posty: 107
- Rejestracja: 30 gru 2014, 13:55
- Lokalizacja: Pomorskie
Re: Juniper SRX - dostęp po ssh z zewn. ip
Tylko, że z tego co widzę, to chyba nie mam dostępu do tworzenia subinterfejsów ?
Re: Juniper SRX - dostęp po ssh z zewn. ip
A co Ci się pojawia jak próbujesz dodać:
set interfaces interface reth6.1428 description TEST (jeżeli już masz 1428 to spróbuj inny, nowy).
set interfaces interface reth6.1428 description TEST (jeżeli już masz 1428 to spróbuj inny, nowy).
-
- wannabe
- Posty: 107
- Rejestracja: 30 gru 2014, 13:55
- Lokalizacja: Pomorskie
Re: Juniper SRX - dostęp po ssh z zewn. ip
set interfacesinterfacereth6.1428description
syntax error.
Jak pisałem mam ograniczony dostęp; aczkolwiek jakbym poprosił o stworzenie virtualek - pewnie bym otrzymał...
syntax error.
Jak pisałem mam ograniczony dostęp; aczkolwiek jakbym poprosił o stworzenie virtualek - pewnie bym otrzymał...