Jump to content

ACL на Juniper

alex4222
 Share

Recommended Posts

alex4222

alex4222

Posted
Posted (edited)

Подскажите пожалуйста конфиг для EX4200

необходимо пользователю разрешить доступ к 0.0.0.0/0, но заблочить 10.0.0.0 255.0.0.0

на порту создан L3 интерфейс в влане, который является шлюзом для пользователя.

 

желательно не для физического порта, а именно для L3 интерфейса, т.к в других вланах есть свой трафик.

Edited by alex4222
alex4222

alex4222

Posted
  • Author
Posted

 

это сам фильтр

 

[edit firewall family inet]

root# show

filter filter-in {

term block-some-packets {

from {

destination-address {

10.0.0.0/8;

}

}

then {

discard;

}

}

term accept-all-other {

then accept;

}

}

 

а вот он прикручивается на порт

 

[edit]

root# edit interfaces em0

 

[edit interfaces em0]

root# show

unit 0 {

family inet {

filter {

input filter-in;

}

}

}

 

[edit interfaces em0]

root#

 

 

а мне нужно на L3 интерфейс например такой http://xgu.ru/w/images/0/06/Rvi-junos.PNG

как?

Mystray

Mystray

Posted
Posted

set interfaces vlan unit 2225 family inet filter ххххххх

 

наверное так я на влан повешу? будет работать?

Да, именно так, interface vlan unit с family inet - в концепции джуна такой же L3-интерфейс, как и любой другой.

просто нет песочницы. нельзя ошибиться.

commit confirmed с этим поможет.

alex4222

alex4222

Posted
  • Author
Posted

set interfaces vlan unit 2225 family inet filter ххххххх

 

наверное так я на влан повешу? будет работать?

Да, именно так, interface vlan unit с family inet - в концепции джуна такой же L3-интерфейс, как и любой другой.

просто нет песочницы. нельзя ошибиться.

commit confirmed с этим поможет.

 

спасибо. commit confirmed само собой, но вопрос вначале нужно провентилировать, а то мало ли что. даже минутный простой будет иметь негативные последствия.

pingz

pingz

Posted
Posted

Как-то вот так выходит вешаю на сам вилан

 

ТС есть закрытая ветка джуноса на форуме.

 

 

family ethernet-switching {
   filter igmp {
       term 1 {
           from {
               source-address {
                   172.30.20.0/24;
               }
           }
           then {
               discard;
               count source-discard;
           }
       }
       term 2 {
           from {
               destination-address {
                   172.30.20.0/24;
               }
           }
           then count destination-discard;
       }
       term default {
           then {
               accept;
               count accept;
           }
       }
   }

   vlan3013 {
       vlan-id 3013;
       filter {
           input igmp;
           output igmp;

 

Как ты писал у тебя не получится т.к. интерфейсы нужно будет настраивать по другому как на роутере и потом их бриджевать их.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.