Jump to content

Juniper и telnet/ssh/icmp

fenikssss
 Share

Recommended Posts

fenikssss

fenikssss

Posted
Posted

Здравствуйте коллеги, пишу вам в надежде получить ответ логики работы джунипера. Есть МХ,настроен telnet ssh, у роутера несколько интерфейсов:

есть интерфейс с fullview bgp, есть интерфейс с пиррингом bgp, есть интерфейс с роутером оспф, так или иначе по всем ип адресам? прописанным на интерфейсе я могу зателнетится. в циске все проще было: вешает на vty аксесс лист и не паришься, а тут? я создал фильтр:

 

fominyh@jun-core-sm> show configuration firewall family inet filter access_router

term terminal_access {

from {

address {

7.21.200.0/28;

76.67.5.0/24;

192.168.15.0/24;

192.168.5.0/24;

}

protocol tcp;

port [ ssh telnet ];

}

then accept;

}

term terminal_access_icmp {

from {

address {

7.21.200.0/28;

76.67.5.0/24;

192.168.15.0/24;

}

protocol icmp;

}

then accept;

}

term terminal_access_denied {

from {

protocol tcp;

port [ ssh telnet ];

}

then {

log;

discard;

}

}

 

fominyh@jun-core-sm>

 

и неужели мне его вешать на каждый интерфейс будь он бгп стыком или оспф роутером?

snvoronkov

snvoronkov

Posted
Posted

и неужели мне его вешать на каждый интерфейс будь он бгп стыком или оспф роутером?

Только на lo0.

 

https://www.juniper.net/techpubs/en_US/junos15.1/topics/concept/interface-security-loopback-understanding.html

 

Packet filtering—Stateless firewall filters can be applied to the loopback address to filter packets originating from, or destined for, the Routing Engine.

fenikssss

fenikssss

Posted
  • Author
Posted

и неужели мне его вешать на каждый интерфейс будь он бгп стыком или оспф роутером?

Только на lo0.

 

https://www.juniper.net/techpubs/en_US/junos15.1/topics/concept/interface-security-loopback-understanding.html

 

Packet filtering—Stateless firewall filters can be applied to the loopback address to filter packets originating from, or destined for, the Routing Engine.

вот по идее так и сделано... странно почему я могу зателнетится с ип адреса своей автономной сети, не относящейся к списку разрешенных.

fenikssss

fenikssss

Posted
  • Author
Posted

вот по идее так и сделано

Покажите

 

lo0 {

unit 0 {

family inet {

filter {

input access_acl;

}

address 127.0.0.1/32;

}

}

 

 

 

filter access_acl {

term terminal_access {

from {

address {

7.21.200.0/28;

76.67.50.0/24;

192.168.15.0/24;

192.168.16.0/24;

192.168.5.0/24;

}

protocol tcp;

port [ ssh telnet ];

}

then accept;

}

term terminal_access_denied {

from {

protocol tcp;

port [ ssh telnet ];

}

then {

log;

reject;

}

}

term default-term {

then accept;

}

}

Mystray

Mystray

Posted
Posted

from {

address {

7.21.200.0/28;

76.67.50.0/24;

192.168.15.0/24;

192.168.16.0/24;

192.168.5.0/24;

}

а адрес самого роутера не входит в эти диапазоны? А то просто address это "source or destination", и если адрес на который ломитесь в этом списке, то его пропустит независимо от соурса.

fenikssss

fenikssss

Posted
  • Author
Posted

from {

address {

7.21.200.0/28;

76.67.50.0/24;

192.168.15.0/24;

192.168.16.0/24;

192.168.5.0/24;

}

а адрес самого роутера не входит в эти диапазоны? А то просто address это "source or destination", и если адрес на который ломитесь в этом списке, то его пропустит независимо от соурса.

 

да на роутере есть прописанные адреса с этих сетей...

fenikssss

fenikssss

Posted
  • Author
Posted

сделал фильтр

filter protect-re {

term tcp-syn {

from {

protocol tcp;

tcp-initial;

}

then {

syslog;

accept;

}

}

term default {

then {

log;

accept;

}

 

вижу долбят по телнет, коллеги прошу помощи) как исаправить фильтр

snvoronkov

snvoronkov

Posted
Posted

вижу долбят по телнет, коллеги прошу помощи) как исаправить фильтр

Бяда, однако, когда маны и даже подсказки читать неохота...

 

Поправьте свой фильтр хотя-бы так:

filter access_acl {
 term terminal_access {
   from {
     source-address {
       7.21.200.0/28;
       76.67.50.0/24;
       192.168.15.0/24;
       192.168.16.0/24;
       192.168.5.0/24;
     }
     protocol tcp;
     destination-port [ ssh telnet ];
   }
   then accept;
 }
 term terminal_access_denied {
   from {
     protocol tcp;
     destination-port [ ssh telnet ];
   }
   then {
     log;
     reject;
   }
 }
 /* А вот за default accept надо бить по рукам шваброй... */
 term default-term {
   then accept;
 }
}

fenikssss

fenikssss

Posted
  • Author
Posted

вижу долбят по телнет, коллеги прошу помощи) как исаправить фильтр

Бяда, однако, когда маны и даже подсказки читать неохота...

 

Поправьте свой фильтр хотя-бы так:

filter access_acl {
 term terminal_access {
   from {
     source-address {
       7.21.200.0/28;
       76.67.50.0/24;
       192.168.15.0/24;
       192.168.16.0/24;
       192.168.5.0/24;
     }
     protocol tcp;
     destination-port [ ssh telnet ];
   }
   then accept;
 }
 term terminal_access_denied {
   from {
     protocol tcp;
     destination-port [ ssh telnet ];
   }
   then {
     log;
     reject;
   }
 }
 /* А вот за default accept надо бить по рукам шваброй... */
 term default-term {
   then accept;
 }
}

 

не будь так критичен) все что знаю о джунипере - гугл) и то, от циски отличие есть))) а этот конфиг достался от прошлого умельца

snvoronkov

snvoronkov

Posted
Posted

не будь так критичен) все что знаю о джунипере - гугл) и то, от циски отличие есть))) а этот конфиг достался от прошлого умельца

Тогда вот:

 

1) Junos as a Second Language - https://learningportal.juniper.net/juniper/user_activity_info.aspx?id=3310

2) История одной DDOS атаки на роутер и методы защиты Juniper routing engine - https://habrahabr.ru/post/186566/

fenikssss

fenikssss

Posted
  • Author
Posted

не будь так критичен) все что знаю о джунипере - гугл) и то, от циски отличие есть))) а этот конфиг достался от прошлого умельца

Тогда вот:

 

1) Junos as a Second Language - https://learningportal.juniper.net/juniper/user_activity_info.aspx?id=3310

2) История одной DDOS атаки на роутер и методы защиты Juniper routing engine - https://habrahabr.ru/post/186566/

 

 

чуть выше писал про дефолт терм... как я понял это зло? снести?)

snvoronkov

snvoronkov

Posted
Posted

чуть выше писал про дефолт терм... как я понял это зло? снести?)

Сначала вторую статейку почитайте и разрешите все нужное. А уж потом убирайте default accept.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.