смотрим доку, якобы все сервисы в жунипере живут на lo0
рисуем фильтр
Код: Выделить всё
root@ex2200-1.host-food.ru# show firewall family inet filter block.services
term 10 {
from {
source-address {
91.227.16.0/22;
195.93.240.0/23;
77.73.24.0/21;
}
destination-port [ telnet ntp snmp ssh ];
}
then accept;
}
term 20 {
from {
destination-port [ ntp telnet snmp ssh ];
}
then {
discard;
}
}
term 30 {
then accept;
}
{master:0}[edit]
root@ex2200-1.host-food.ru#
Код: Выделить всё
root@ex2200-1.host-food.ru# show interfaces lo0
unit 0 {
family inet {
filter {
input block.services;
}
}
}
{master:0}[edit]
однако, если повесить на тот интерфейс, где у нас висит IP - работает (то же самое, но на me0)
проблема - на нём вланы, по IP адресам вланов (которые есть шлюз, влановских подсетей) прекрасно можно на него ходить по ssh.
-----------
я чё-то не так сделал или что?
Отправлено спустя 2 минуты 59 секунд:
да, собсно задача закрыть ssh джунипера от китайцев...
последний раз, он у меня аж завис при обновлении - поскольку все ресурсы сожрали процессы sshd к которым китайцы пассы подбирали...
ладно хоть обошлось, питание подёргал - он дообновлялся после загрузки ...
но, блин, железку было бы жалко конечно, если б не пережила ...