qelso Опубликовано 3 июля, 2017 · Жалоба Всем доброго времени суток! Не удается на Juniper MX80 порезать доступ на telnet. У меня это первый Juniper. Такой, вроде, пустяковый вопрос поставил меня в тупик. Гуглил, но нужное не нашел. Делаю так: groups { my-trusted-hosts { firewall { family inet { filter telnet-acl { term term-access { from { address { 10.10.10.0/24; } } then accept; } term term-deny { from { address { 0.0.0.0/0; } } then { reject; } } } } } } } system { services { telnet { apply-groups my-trusted-hosts; } } } Не помогает, по телнету зайти можно отовсюду. Прошу совета у форумчан. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 3 июля, 2017 · Жалоба На лупбэк весить надо. https://www.juniper.net/documentation/en_US/junos11.1/topics/example/firewall-filter-stateless-example-trusted-source-block-telnet-and-ssh-access.html Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
qelso Опубликовано 3 июля, 2017 · Жалоба snvoronkov, друг, спасибо! Завтра попробую. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vvertexx Опубликовано 3 июля, 2017 · Жалоба и это... сразу консольный кабель приготовь, ещё несколько ошибок вижу Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
v_r Опубликовано 3 июля, 2017 · Жалоба В таких ответственных случаях помогает (если не сказать спасает) commit confirmed 1. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
qelso Опубликовано 4 июля, 2017 (изменено) · Жалоба Парни, спасибо! Тут прям Juniper-братство) Сделал так: system { services { telnet; } } interfaces { lo0 { unit 0 { family inet { filter { input telnet-acl; } address 10.10.10.1/32; } } } } firewall { filter telnet-acl { term term-access { from { source-address { 11.11.11.0/24; 12.12.12.0/24; } protocol tcp; destination-port [ telnet ssh ]; } then accept; } term term-deny { from { protocol tcp; destination-port [ telnet ssh ]; } then { log; reject; } } term term-default { then accept; } } } По сути, взял из соседней темы А как отменить commit confirmed 1? Просто commit? Изменено 4 июля, 2017 пользователем qelso Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
orlik Опубликовано 4 июля, 2017 · Жалоба чтоб отменить , нужно сделать rollback 1 и потом commit P.S. незабывайте сделать show | compare перед коммитом Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
qelso Опубликовано 5 июля, 2017 · Жалоба orlik, вроде как, просто commit, но все равно спасибо! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdc Опубликовано 5 июля, 2017 · Жалоба commit применит. а для отмены достаточно просто подождать, оно само отменится Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vvertexx Опубликовано 5 июля, 2017 · Жалоба srx: если на выделенный vlan для управления поменять vlan-id - пропадает доступ до устройства до перетыкания кабеля(даже при commit confirmed и возврате старого id - теряешь доступ). На ex3200 - не пропадает. проверял на srx210H2/srx240H/ex3200 с последними прошивками. Тот редкий случай, когда commit confirmed не спасает Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
littlevik Опубликовано 6 июля, 2017 · Жалоба так красивее set groups mgmt interfaces lo0 unit <*> family inet filter input mgmt set apply-groups mgmt в фильтр писать по вкусу... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
v_r Опубликовано 6 июля, 2017 · Жалоба littlevik Так удобнее если в большинстве routing-instance используется один и тот же фильтр. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...