Juniper, фильтр на ssh

Juniper/Cisco/Allied Telesis/D-Link/Zyxel
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Alex Keda
стреляли...
Сообщения: 34924
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Juniper, фильтр на ssh

Непрочитанное сообщение Alex Keda » 2015-10-02 16:01:30

имеется Juniper ex2200

смотрим доку, якобы все сервисы в жунипере живут на lo0
рисуем фильтр

Код: Выделить всё

root@ex2200-1.host-food.ru# show firewall family inet filter block.services
term 10 {
    from {
        source-address {
            91.227.16.0/22;
            195.93.240.0/23;
            77.73.24.0/21;
        }
        destination-port [ telnet ntp snmp ssh ];
    }
    then accept;
}
term 20 {
    from {
        destination-port [ ntp telnet snmp ssh ];
    }
    then {
        discard;
    }
}
term 30 {
    then accept;
}

{master:0}[edit]
root@ex2200-1.host-food.ru#

вешаем на интерфейс

Код: Выделить всё

root@ex2200-1.host-food.ru# show interfaces lo0
unit 0 {
    family inet {
        filter {
            input block.services;
        }
    }
}

{master:0}[edit]


получаем индейское жилищще. как ходил ssh с других сетей, так и ходит

однако, если повесить на тот интерфейс, где у нас висит IP - работает (то же самое, но на me0)

проблема - на нём вланы, по IP адресам вланов (которые есть шлюз, влановских подсетей) прекрасно можно на него ходить по ssh.

-----------
я чё-то не так сделал или что?

Отправлено спустя 2 минуты 59 секунд:
да, собсно задача закрыть ssh джунипера от китайцев...
последний раз, он у меня аж завис при обновлении - поскольку все ресурсы сожрали процессы sshd к которым китайцы пассы подбирали...
ладно хоть обошлось, питание подёргал - он дообновлялся после загрузки ...
но, блин, железку было бы жалко конечно, если б не пережила ...
Убей их всех! Бог потом рассортирует...

lap
лейтенант
Сообщения: 603
Зарегистрирован: 2010-08-13 23:39:29
Откуда: Moscow
Контактная информация:

Juniper, фильтр на ssh

Непрочитанное сообщение lap » 2015-10-10 19:31:16

А у тебя на ло0 вообще нет ипиадреса? попробуй чтонибудь повесить, хотяб с маской /32
Не сломалось - не чини.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 34924
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Juniper, фильтр на ssh

Непрочитанное сообщение Alex Keda » 2015-10-10 20:07:01

неа. нету.
в понедельник попробую, когда будет физический доступ.
мало ли =))
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 34924
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Juniper, фильтр на ssh

Непрочитанное сообщение Alex Keda » 2015-10-12 20:31:54

перевесил адрес с me0 на lo0 - вообще не пингуется...
вернул взад ...
Убей их всех! Бог потом рассортирует...

lap
лейтенант
Сообщения: 603
Зарегистрирован: 2010-08-13 23:39:29
Откуда: Moscow
Контактная информация:

Juniper, фильтр на ssh

Непрочитанное сообщение lap » 2015-11-03 16:05:49

Потыкал наконц-то свой джуносвич, но проблему как описано выше не наблюдаю =/

У меня правда всего один интерфейс с ипишником, но на нем листов нет. только на lo0


и лист у нас вида

Код: Выделить всё

другие правила для остальных протоколов
set firewall filter router-protect-ipv4 term mgmt-access from source-prefix-list mgmt-networks
set firewall filter router-protect-ipv4 term mgmt-access from source-prefix-list router-id-networks-ipv4
set firewall filter router-protect-ipv4 term mgmt-access from protocol tcp
set firewall filter router-protect-ipv4 term mgmt-access from destination-port ssh
set firewall filter router-protect-ipv4 term mgmt-access from destination-port telnet
set firewall filter router-protect-ipv4 term mgmt-access then policer ssh-1M
set firewall filter router-protect-ipv4 term mgmt-access then count accept-mgmt
set firewall filter router-protect-ipv4 term mgmt-access then accept

еще немного правил для еще более других протоколов

set firewall filter router-protect-ipv4 term default-action then count discard-all-other
set firewall filter router-protect-ipv4 term default-action then log
set firewall filter router-protect-ipv4 term default-action then syslog
set firewall filter router-protect-ipv4 term default-action then discard

ну и применение листа на ло0
> show configuration interfaces lo0
unit 0 {
    family inet {
        no-redirects;
        filter {
            input router-protect-ipv4;
        }
    }
}



Из сетей которые не попадают под правила для ssh/telnet не пускает.

свич qfx5100 софт 13.2X51-D38
Не сломалось - не чини.


Вернуться в «Активное сетевое оборудование»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 4 гостя