Juniper SRX - dostęp po ssh z zewn. ip

JunOS / Juniper / Netscreen

Moderatorzy: mikrobi, aron, garfield, gangrena, Seba

Wiadomość
Autor
Szefo89
member
member
Posty: 27
Rejestracja: 10 mar 2016, 17:41

Re: Juniper SRX - dostęp po ssh z zewn. ip

#16

#16 Post autor: Szefo89 » 30 lis 2018, 15:27

Znowu z pamięci pisałem, sprawdziłem i od razu wchodzisz do interfejsu, więc spróbuj zrobić
set interfaces reth6.1428 description TEST

Ale jeżeli wycięto Ci dostępy, to niewiele tutaj możemy ugrać.

roberto100
wannabe
wannabe
Posty: 80
Rejestracja: 30 gru 2014, 13:55
Lokalizacja: Pomorskie

Re: Juniper SRX - dostęp po ssh z zewn. ip

#17

#17 Post autor: roberto100 » 30 lis 2018, 16:07

Niestety - to samo...
Jeżeli chodzi o "set" Mam dostęp tylko do:

> access Network access configuration
> access-profile Access profile for this instance
> applications Define applications by protocol characteristics
+ apply-groups Groups from which to inherit configuration data
+ apply-groups-except Don't inherit configuration data from these groups
> schedulers Security scheduler
> security Security configuration


Chyba pozostaje mi tylko "ciąć w jakiś sposób ruch z tej klasy lub do tej klasy, to politykami. "

Mógłbyś podpowiedzieć:
załóżmy, że w tej klasie adresowej na reth6 vlan-id 1428 wyrutowanej na swichu xxx.xxx.xxx.xxx/29 chciałbym dla jednego ip z tej klasy przyciąć ruch tylko dla http to politykami ?

Szefo89
member
member
Posty: 27
Rejestracja: 10 mar 2016, 17:41

Re: Juniper SRX - dostęp po ssh z zewn. ip

#18

#18 Post autor: Szefo89 » 30 lis 2018, 18:21

Tak, dokładnie, tranzytowy ruch przycina się przez polityki. Musisz dodać do strefy trust odpowiednie wpisy, typu
set security zones security-zone trust address-book address WEBSERVER 1.1.1.1/32

A później:
set security policies from-zone untrust to-zone trust policy TEST-1 match source-destination any
set security policies from-zone untrust to-zone trust policy TEST-1 match destination-address WEBSERVER
set security policies from-zone untrust to-zone trust policy TEST-1 match application junos-http
set security policies from-zone untrust to-zone trust policy TEST-1 then permit

Powyższa polityka spowoduje ze ze strefy untrust do strefy trust będzie przepuszczony tylko ruch do adresu 1.1.1.1 (kryjący się pod nazwa WEBSERVER) na porcie 80 (junos-http).

roberto100
wannabe
wannabe
Posty: 80
Rejestracja: 30 gru 2014, 13:55
Lokalizacja: Pomorskie

Re: Juniper SRX - dostęp po ssh z zewn. ip

#19

#19 Post autor: roberto100 » 03 gru 2018, 09:50

Ok. Dzięki - zaczynam zabawę :)

Teraz mam tak, że ze strefy trust to untrust (z ip za firewallem zezwalam jednemu z hostów wewnątrz (xxx.xxx.xxx.xxx/32) na wyjście na świat tylko dla http) - polityka WWW
Ale wyżej jest polityka ALL - co jak sądzę ma znaczenie, gdyż ona najpierw przepuszcza wszystko dla wszystkich. Można je odwrócić, że najpierw czytana jest regula WWW a później ew. all ? Czy lepiej skasować ALL ?

policies {
from-zone trust to-zone untrust {
policy all {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
policy WWW {
match {
source-address WWW;
destination-address any;
application [ junos-http ];

}
then {
permit;

Szefo89
member
member
Posty: 27
Rejestracja: 10 mar 2016, 17:41

Re: Juniper SRX - dostęp po ssh z zewn. ip

#20

#20 Post autor: Szefo89 » 03 gru 2018, 12:02

Możesz zmienić kolejność, co będzie miało tylko kosmetyczne znaczenie (później w show security flow session zobaczysz do jakiej sesji wpadła polityka). Tak czy owak zostanie wszystko przepuszczone. Jeżeli chcesz mieć po kolei to zrób tak:

edit security policies from-zone trust to-zone untrust
insert policy WWW before policy all

Jeżeli potrzebujesz żeby ten host miał wyjście tylko po HTTP, to usuń całkowicie politykę all i zostaw tylko tą WWW.

ODPOWIEDZ