Jump to content
Калькуляторы

JunOS: firewall filter, 22/tcp - открыт только для определенных адресов, но пакеты проходят

Коллеги, добрый день!

Имеется такая конструкция firewall filter:

set firewall filter accept-ssh term accept-ssh from source-prefix-list trusted-sources
set firewall filter accept-ssh term accept-ssh from destination-prefix-list LOCALS-v4
set firewall filter accept-ssh term accept-ssh from destination-prefix-list MNGMNT-INTERNALS-v4
set firewall filter accept-ssh term accept-ssh from protocol tcp
set firewall filter accept-ssh term accept-ssh from destination-port ssh
set firewall filter accept-ssh term accept-ssh then policer management-5m
set firewall filter accept-ssh term accept-ssh then count accept-ssh
set firewall filter accept-ssh term accept-ssh then accept
set firewall filter discard-all-to-locals-v4 term discard-tcp from destination-prefix-list LOCALS-v4
set firewall filter discard-all-to-locals-v4 term discard-tcp from protocol tcp
set firewall filter discard-all-to-locals-v4 term discard-tcp then count discard-tcp
set firewall filter discard-all-to-locals-v4 term discard-tcp then log
set firewall filter discard-all-to-locals-v4 term discard-tcp then discard
set firewall filter discard-all-to-locals-v4 term discard-udp from destination-prefix-list LOCALS-v4
set firewall filter discard-all-to-locals-v4 term discard-udp from protocol udp
set firewall filter discard-all-to-locals-v4 term discard-udp then count discard-udp
set firewall filter discard-all-to-locals-v4 term discard-udp then log
set firewall filter discard-all-to-locals-v4 term discard-udp then discard
set firewall filter discard-all-to-locals-v4 term discard-icmp from destination-prefix-list LOCALS-v4
set firewall filter discard-all-to-locals-v4 term discard-icmp from protocol icmp
set firewall filter discard-all-to-locals-v4 term discard-icmp then count discard-icmp
set firewall filter discard-all-to-locals-v4 term discard-icmp then log
set firewall filter discard-all-to-locals-v4 term discard-icmp then discard
set firewall filter discard-all-to-locals-v4 term discard-unknown from destination-prefix-list LOCALS-v4
set firewall filter discard-all-to-locals-v4 term discard-unknown then count discard-unknown
set firewall filter discard-all-to-locals-v4 term discard-unknown then log
set firewall filter discard-all-to-locals-v4 term discard-unknown then discard

 

Каждому интерфейсу маршрутизатора прикручен filter input list accept-ssh discard-all-to-locals-v4

Проверяю с удаленного хоста в глобальной сети, ни на одном IP адресе маршрутизатора 22/tcp порт не открыт. Коннекты проходят только с соурсов определенных в prefix-list trusted-sources, однако в логе наблюдаю:

Mar 15 11:09:42  MX80 sshd: SSHD_LOGIN_FAILED: Login failed for user 'odoo9' from host '139.219.238.228'
Mar 15 11:09:42  MX80 sshd: SSHD_LOGIN_FAILED: Login failed for user 'odoo9' from host '139.219.238.228'
Mar 15 11:09:47  MX80 sshd: SSHD_LOGIN_FAILED: Login failed for user 'odoo9' from host '139.219.238.228'
Mar 15 11:25:14  MX80 sshd: SSHD_LOGIN_FAILED: Login failed for user 'odoo8' from host '139.219.238.228'
Mar 15 11:25:14  MX80 sshd: SSHD_LOGIN_FAILED: Login failed for user 'odoo8' from host '139.219.238.228'
Mar 15 11:25:19  MX80 sshd: SSHD_LOGIN_FAILED: Login failed for user 'odoo8' from host '139.219.238.228'
Mar 15 11:56:59  MX80 sshd: SSHD_LOGIN_FAILED: Login failed for user 'odoo9' from host '139.219.238.228'
Mar 15 11:56:59  MX80 sshd: SSHD_LOGIN_FAILED: Login failed for user 'odoo9' from host '139.219.238.228'
Mar 15 11:57:05  MX80 sshd: SSHD_LOGIN_FAILED: Login failed for user 'odoo9' from host '139.219.238.228'
Mar 15 12:11:23  MX80 sshd: SSHD_LOGIN_FAILED: Login failed for user 'odoo8' from host '139.219.238.228'
Mar 15 12:11:32  MX80 sshd: SSHD_LOGIN_FAILED: Login failed for user 'odoo8' from host '139.219.238.228'
Mar 15 12:11:37  MX80 sshd: SSHD_LOGIN_FAILED: Login failed for user 'odoo8' from host '139.219.238.228'
Mar 15 12:25:51  MX80 sshd: SSHD_LOGIN_FAILED: Login failed for user 'odoo9' from host '139.219.238.228'
Mar 15 12:25:51  MX80 sshd: SSHD_LOGIN_FAILED: Login failed for user 'odoo9' from host '139.219.238.228'
Mar 15 12:25:56  MX80 sshd: SSHD_LOGIN_FAILED: Login failed for user 'odoo9' from host '139.219.238.228'
Mar 15 12:40:11  MX80 sshd: SSHD_LOGIN_FAILED: Login failed for user 'odoo8' from host '139.219.238.228'
Mar 15 12:40:14  MX80 sshd: SSHD_LOGIN_FAILED: Login failed for user 'odoo8' from host '139.219.238.228'
Mar 15 12:40:19  MX80 sshd: SSHD_LOGIN_FAILED: Login failed for user 'odoo8' from host '139.219.238.228'
Mar 15 12:54:59  MX80 sshd: SSHD_LOGIN_FAILED: Login failed for user 'odoo9' from host '139.219.238.228'
Mar 15 12:55:00  MX80 sshd: SSHD_LOGIN_FAILED: Login failed for user 'odoo9' from host '139.219.238.228'
Mar 15 12:55:05  MX80 sshd: SSHD_LOGIN_FAILED: Login failed for user 'odoo9' from host '139.219.238.228'
Mar 15 13:26:51  MX80 sshd: SSHD_LOGIN_FAILED: Login failed for user 'odoo9' from host '139.219.238.228'
Mar 15 13:26:51  MX80 sshd: SSHD_LOGIN_FAILED: Login failed for user 'odoo9' from host '139.219.238.228'
Mar 15 13:26:57  MX80 sshd: SSHD_LOGIN_FAILED: Login failed for user 'odoo9' from host '139.219.238.228'
Mar 15 13:41:53  MX80 sshd: SSHD_LOGIN_FAILED: Login failed for user 'odoo8' from host '139.219.238.228'
Mar 15 13:41:53  MX80 sshd: SSHD_LOGIN_FAILED: Login failed for user 'odoo8' from host '139.219.238.228'
Mar 15 13:42:00  MX80 sshd: SSHD_LOGIN_FAILED: Login failed for user 'odoo8' from host '139.219.238.228'

 

Каким образом с этого хоста проходят пакеты? Куда копать?

 

Спасибо!

Share this post


Link to post
Share on other sites

Примените фильтр на lo0.0 интерфейс , это первое , тогда не нужно будет его клонировать на все интерфейсы и коробка будет также защищена.

2) у вас в дискард фильтре нет from destination-prefix-list MNGMNT-INTERNALS-v4

3) в некоторых случаях тарфик может не обрабатываться вашим фильтром , например если на интерфейс приходит с mpls меткой (хотябы даже explicit null ). Это тоже шлегко лечится фильром на lo0.0 интерфейсе

Share this post


Link to post
Share on other sites

Примените фильтр на lo0.0 интерфейс , это первое , тогда не нужно будет его клонировать на все интерфейсы и коробка будет также защищена.

2) у вас в дискард фильтре нет from destination-prefix-list MNGMNT-INTERNALS-v4

3) в некоторых случаях тарфик может не обрабатываться вашим фильтром , например если на интерфейс приходит с mpls меткой (хотябы даже explicit null ). Это тоже шлегко лечится фильром на lo0.0 интерфейсе

1) повесил на lo0.0

2) это не критично, в MNGMNT-INTERNALS-v4 несколько адресов внутри сети, к которым нужен SSH и они не являются Local для маршрутизатора.

3) разве метки не снимаются на PE и долетают до CE? И в случае, если трафик с меткой, то firewall filter не обрабатывает пакеты? Можно пожалуйста чуть подробнее об этом моменте?

 

Ну, а пока понаблюдаю за логами, спасибо!

Share this post


Link to post
Share on other sites

3) разве метки не снимаются на PE и долетают до CE? И в случае, если трафик с меткой, то firewall filter не обрабатывает пакеты? Можно пожалуйста чуть подробнее об этом моменте?

 

метки не всегда снимаются , я уже написал , например в случае explicit null.

Причем тут CE ? я так понимаю логи у вас на MX сыпятся ?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this