forum.opennet.ru - "Junos host-inbound-traffic" (2)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Junos host-inbound-traffic"

Форум Маршрутизаторы CISCO и др. оборудование. (Другое оборудование)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Junos host-inbound-traffic"	+/–
Сообщение от lv2 (ok) on 23-Авг-13, 04:54
Добрый день. Не могли бы объяснить назначение праметра dns? security-zone untrust { interfaces { at-1/0/0.0 { host-inbound-traffic { system-services { dns; Это для резолва с самого файервола? То есть, что бы находясь в консоли srx можно было резолвить? Либо в джуносе есть какой либо кэшируюший днс сервер и это для него? Грубо говоря это правило: Разрешать траффик инициированный с порта 53 на вход дсл интерфейса? Так? Или это для чего то другого? Тот же вопрос про dhcp - это для получения настроек от провайдера? Если там же разрешить ssh то он будет принимать траффик ssh с любого хоста в инете? Как настроить, чтоб не с любого? Политикой? Но вроде политики для перехода между зонами, а не для траффика предназначенного самому роутеру. Конечная цель - иметь возможносто заходить на роутер по ssh только с одного внешнего IP. Заранее спасибо.
Ответить \| Правка \| Cообщить модератору

Оглавление

Junos host-inbound-traffic, anonymous, 01:39 , 24-Авг-13, (1)
Junos host-inbound-traffic, midori, 13:30 , 24-Авг-13, (2)

Сообщения по теме [Сортировка по времени | RSS]

1. "Junos host-inbound-traffic" +/–

Сообщение от anonymous (??) on 24-Авг-13, 01:39

>
> host-inbound-traffic {
>
>     system-services {
>
>         dns;
> Это для резолва с самого файервола? То есть, что бы находясь в
> консоли srx можно было резолвить? Либо в джуносе есть какой либо
> кэшируюший днс сервер и это для него?
Последнее.
Насчёт консоли: любое инициированное соединение, которое генерится локально на джунипере, спокойно уйдёт наружу, и для этого соединения будети создан автоматом pass in правило для ответов на входящем интерфейсе.
> Грубо говоря это правило:
> Разрешать траффик инициированный с порта 53 на вход дсл интерфейса? Так?
Нет. Не просто для входящих на 53, а для входящих для локального сервиса на порту 53 джунипера.
Это то же самое, что на классической фряхе сказать
allow from any to me in recv ext0
> Тот же вопрос про dhcp - это для получения настроек от провайдера?
Нет, это для обращения к джуниперовскому dhcp-серверу/relay.
Обращение к провайдерскому dhcp считается локально созданным, см.выше.
> Если там же разрешить ssh то он будет принимать траффик ssh с
> любого хоста в инете?
да
>Как настроить, чтоб не с любого? Политикой?
Да. Но нет лучшего фаервола чем стойкий пароль и надёжная клиентская машина.
Когда работал в хостинге, заметил что последним зачастую пренебрегают, до первого пойманного кейлоггера.
> Но вроде политики для перехода между зонами, а не для траффика
> предназначенного самому роутеру.
Это именно для разрешения обращения из определённой зоны к локальным сервисам джунипера.
> Конечная цель - иметь возможносто заходить на роутер по ssh только с
> одного внешнего IP.
http://www.juniper.net/techpubs/software/junos-security/juno...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Junos host-inbound-traffic" +/–

Сообщение от midori (ok) on 24-Авг-13, 13:30

В данной секции определена "зона безопасности" (untrust) к интерфейсу at-1/0/0.0,разрешающая входящий трафик DNS на само устройство. Прохождение трафика между зонами (а их должно быть минимум две) контролируют уже "политики безопасности". SRX модели могут выступать в роли клиента и прокси (сервера) DNS.
Чтобы разрешить трафик ssh с 1 ip вы должны использовать простые ACLы (stateless firewall filter), например:
#set firewall family inet filter Restrict-at-1/0/0.0 term SSHonly1ip from source-address 1.1.1.1
#set firewall family inet filter Restrict-at-1/0/0.0 term SSHonly1ip from destination-port 22
#set firewall family inet filter Restrict-at-1/0/0.0 term SSHonly1ip from protocol tcp
#set firewall family inet filter Restrict-at-1/0/0.0 term SSHonly1ip then accept log
#set interfaces at-1/0/0.0 unit 0 family inet filter input Restrict-at-1/0/0.0

Использование политик возможно только с зоной безопасности "junos-host", которая оперирует трафиком с/на само устройство, например (правила на входящие соединения):
#set security policies from-zone untrust to-zone junos-host policy AllowSSH match source-address 1.1.1.1 destination-address 2.2.2.2 application junos-ssh
#set security policies from-zone untrust to-zone junos-host policy AllowSSH then permit
#set security policies from-zone untrust to-zone junos-host policy AllowSSH then log session-close
#set security zones security-zone untrust host-inbound-traffic system-services ssh

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Junos host-inbound-traffic"	+/–
Сообщение от anonymous (??) on 24-Авг-13, 01:39
> > host-inbound-traffic { > > system-services { > > dns; > Это для резолва с самого файервола? То есть, что бы находясь в > консоли srx можно было резолвить? Либо в джуносе есть какой либо > кэшируюший днс сервер и это для него? Последнее. Насчёт консоли: любое инициированное соединение, которое генерится локально на джунипере, спокойно уйдёт наружу, и для этого соединения будети создан автоматом pass in правило для ответов на входящем интерфейсе. > Грубо говоря это правило: > Разрешать траффик инициированный с порта 53 на вход дсл интерфейса? Так? Нет. Не просто для входящих на 53, а для входящих для локального сервиса на порту 53 джунипера. Это то же самое, что на классической фряхе сказать allow from any to me in recv ext0 > Тот же вопрос про dhcp - это для получения настроек от провайдера? Нет, это для обращения к джуниперовскому dhcp-серверу/relay. Обращение к провайдерскому dhcp считается локально созданным, см.выше. > Если там же разрешить ssh то он будет принимать траффик ssh с > любого хоста в инете? да >Как настроить, чтоб не с любого? Политикой? Да. Но нет лучшего фаервола чем стойкий пароль и надёжная клиентская машина. Когда работал в хостинге, заметил что последним зачастую пренебрегают, до первого пойманного кейлоггера. > Но вроде политики для перехода между зонами, а не для траффика > предназначенного самому роутеру. Это именно для разрешения обращения из определённой зоны к локальным сервисам джунипера. > Конечная цель - иметь возможносто заходить на роутер по ssh только с > одного внешнего IP. http://www.juniper.net/techpubs/software/junos-security/juno...
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

2. "Junos host-inbound-traffic"	+/–
Сообщение от midori (ok) on 24-Авг-13, 13:30
В данной секции определена "зона безопасности" (untrust) к интерфейсу at-1/0/0.0,разрешающая входящий трафик DNS на само устройство. Прохождение трафика между зонами (а их должно быть минимум две) контролируют уже "политики безопасности". SRX модели могут выступать в роли клиента и прокси (сервера) DNS. Чтобы разрешить трафик ssh с 1 ip вы должны использовать простые ACLы (stateless firewall filter), например: #set firewall family inet filter Restrict-at-1/0/0.0 term SSHonly1ip from source-address 1.1.1.1 #set firewall family inet filter Restrict-at-1/0/0.0 term SSHonly1ip from destination-port 22 #set firewall family inet filter Restrict-at-1/0/0.0 term SSHonly1ip from protocol tcp #set firewall family inet filter Restrict-at-1/0/0.0 term SSHonly1ip then accept log #set interfaces at-1/0/0.0 unit 0 family inet filter input Restrict-at-1/0/0.0 Использование политик возможно только с зоной безопасности "junos-host", которая оперирует трафиком с/на само устройство, например (правила на входящие соединения): #set security policies from-zone untrust to-zone junos-host policy AllowSSH match source-address 1.1.1.1 destination-address 2.2.2.2 application junos-ssh #set security policies from-zone untrust to-zone junos-host policy AllowSSH then permit #set security policies from-zone untrust to-zone junos-host policy AllowSSH then log session-close #set security zones security-zone untrust host-inbound-traffic system-services ssh
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору