Рубрики

Лучшие статьи

Junos Firewall

Опубликовал 3 августа 2010 в рубрике Juniper. Комментарии: Комментариев нет   Просмотров: 274 просмотров

Решил наконец разобраться с фаерволом на умной железяке Juniper J6350. Поковырял доки на ихнем сайте, оказалось все не намного сложнее того же ipfw или access-list на Cisco IOS.

Первым тренировочным этапом решил просто заблокировать ssh и web managment всем, кроме своего админского диапазона. Нефиг лазять кому ни попадя на главный роутер сети. Пароль хоть и не из простых, н очем черт не шутят, мало ли сбрутят еще :) Проблем не оберешься потом.

Фаерволл в Junos как и вся конфигурация строится в иерархическом ключе. В примере фаерволла выглядит примерно так:

  • Логическая единица filter. Которубю непосредетсенно применяем к какому-нибудь интерфейсу (как в IOS)
  • Ниже следует правило term, в нем собственно описываем что, как, куда блокировать или разрешать.

Я решил построить фаерволл на разрешающей политике и запрещать все отдельными правилами. Хотя правильней на мой взгляд как раз таки запрещающая всё политика и кучка правил, разрешающих что нужно. Но на живой железке, обслуживающей всю сеть, пока не хочется запрещать всё, мало ли чего разрешить забуду и сиди голову ломай потом :)

Вобщем конкретный пример. Запрещаем SSH и web-managment всем, кроме 10.0.7.7. destination-address и есть адрес Juniper'a

family inet {
filter incoming {
term block_www {
from {
source-address {
0.0.0.0/0;
10.0.7.7/32 except;
}
destination-address {
10.0.7.8/32;
192.168.1.8/32;
}
protocol tcp;
destination-port [ http 80 ];
}
then {
discard;
}
}
term ssh {
from {
source-address {
10.0.7.7/32 except;
0.0.0.0/0;
}
destination-address {
10.0.7.8/32;
192.168.1.8/32;
}
protocol tcp;
destination-port 22;
}
then {
count ssh_discard;
discard;
}
}
term allow_all {
then accept;
}
}

Последним не забываем добавить term, отвечающий за прохождение остальных пакетов. Иначе будет блокироваться всё по умолчанию.

Из CLI интерфейса добавление таких правил не намного сложнее, чем с веб-морду. Да и с консолью кошернее как-то работать, нежели с полу-урезанным web-интерфейсом.

Заходим на железку, идем в конфигруционный режим фаера.

x3#/home/maf> jun
— JUNOS 9.6R2.11 built 2009-10-06 20:20:10 UTC
root@vlan-vs% cli
root@vlan-vs> configure
Entering configuration mode
Users currently editing the configuration:
root terminal p0 (pid 60170) on since 2010-08-01 21:46:13 UTC, idle 00:09:59
[edit]

[edit]
root@vlan-vs# edit firewall

[edit firewall]

Дальше заводим фильтр с любым названием и term'ы тоже как душе угодно. Естественно лучше давать осмысленные логические имена, дабы самим потом не запутаться.

root@vlan-vs# edit family inet filter incoming term block_www

[edit firewall family inet filter incoming term block_www]

Да, и ещё. Не забываем префикс family inet, именно в нем конфигурируются все правила IPv4.

Ну теперь осталось самое элементарное указать src-addr, dst-addr, dst-port ну и прочее параметры, которые мы казываем в любом фаерволле.

root@vlan-vs# show
from {
source-address {
0.0.0.0/0;
10.0.7.7/32 except;
}
destination-address {
10.0.7.8/32;
192.168.1.8/32;
}
protocol tcp;
destination-port [ http 80 ];
}
then {
discard;
}

[edit firewall family inet filter incoming term block_www]

Тут думаю и так все понятно. Правило готов, осталось его применить к какому-нибудь интерфейсу. В моём случае пришлось писать его на каждый vlan. Геморройное занятие конечн, благо у нас вланов всего-ничего :)

root@vlan-vs# show interfaces ge-0/0/0
gigether-options {
auto-negotiation;
}
unit 0 {
family inet {
filter {
input incoming;
}
address 10.0.7.8/24;
address 192.168.1.8/24;
}
}

[edit]

Вот таким макаром приклеиваем свеже испеченый filter под именем incoming (что подразумевает входящий трафик) к интерфейсу ge-0/0/0 и unit 0.

Всё. Пробуем запустить конфигруцию волшебной командой junos commit confirmed 5

Очень удобная фича. Если потеряете связь с маршрутизатором, он автоматически через 5 минут откатит конфигурацию к последнему рабочему состоянию. Выручала не 1 раз :)

Поделись:
  • Добавить ВКонтакте заметку об этой странице
  • Мой Мир
  • Facebook
  • Twitter
  • unixtips.ru&subject=Junos%20Firewall+<+unixtips.ru" title="LiveJournal">LiveJournal
  • MySpace
  • В закладки Google
  • Google Buzz
  • Яндекс.Закладки
  • LinkedIn
  • Technorati
  • del.icio.us
  • Digg
  • БобрДобр
  • Memori.ru
  • МоёМесто.ru
  • Сто закладок
  • Blogger
  • Блог Li.ру
  • Блог Я.ру
  • Одноклассники

Метки: ,
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Загрузка ... Загрузка ...



Оставить комментарий или два

RSS

rss Подпишитесь на RSS для получения обновлений.

Add to Google Reader or Homepage

Подписаться на рассылку E-Mail:

Опрос

Статьи на какую тему Вам более интересны?

Просмотреть результаты

Загрузка ... Загрузка ...