[fenikssss]

Здравствуйте коллеги, пишу вам в надежде получить ответ логики работы джунипера. Есть МХ,настроен telnet ssh, у роутера несколько интерфейсов:

есть интерфейс с fullview bgp, есть интерфейс с пиррингом bgp, есть интерфейс с роутером оспф, так или иначе по всем ип адресам? прописанным на интерфейсе я могу зателнетится. в циске все проще было: вешает на vty аксесс лист и не паришься, а тут? я создал фильтр:

 

fominyh@jun-core-sm> show configuration firewall family inet filter access_router

term terminal_access {

from {

address {

7.21.200.0/28;

76.67.5.0/24;

192.168.15.0/24;

192.168.5.0/24;

}

protocol tcp;

port [ ssh telnet ];

}

then accept;

}

term terminal_access_icmp {

from {

address {

7.21.200.0/28;

76.67.5.0/24;

192.168.15.0/24;

}

protocol icmp;

}

then accept;

}

term terminal_access_denied {

from {

protocol tcp;

port [ ssh telnet ];

}

then {

log;

discard;

}

}

 

fominyh@jun-core-sm>

 

и неужели мне его вешать на каждый интерфейс будь он бгп стыком или оспф роутером?

[snvoronkov]

и неужели мне его вешать на каждый интерфейс будь он бгп стыком или оспф роутером?

Только на lo0.

 

https://www.juniper.net/techpubs/en_US/junos15.1/topics/concept/interface-security-loopback-understanding.html

 

Packet filtering—Stateless firewall filters can be applied to the loopback address to filter packets originating from, or destined for, the Routing Engine.

[fenikssss]

и неужели мне его вешать на каждый интерфейс будь он бгп стыком или оспф роутером?

Только на lo0.

 

https://www.juniper.net/techpubs/en_US/junos15.1/topics/concept/interface-security-loopback-understanding.html

 

Packet filtering—Stateless firewall filters can be applied to the loopback address to filter packets originating from, or destined for, the Routing Engine.

вот по идее так и сделано... странно почему я могу зателнетится с ип адреса своей автономной сети, не относящейся к списку разрешенных.

[Mystray]

вот по идее так и сделано

Покажите

[fenikssss]

вот по идее так и сделано

Покажите

 

lo0 {

unit 0 {

family inet {

filter {

input access_acl;

}

address 127.0.0.1/32;

}

}

 

 

 

filter access_acl {

term terminal_access {

from {

address {

7.21.200.0/28;

76.67.50.0/24;

192.168.15.0/24;

192.168.16.0/24;

192.168.5.0/24;

}

protocol tcp;

port [ ssh telnet ];

}

then accept;

}

term terminal_access_denied {

from {

protocol tcp;

port [ ssh telnet ];

}

then {

log;

reject;

}

}

term default-term {

then accept;

}

}

[Mystray]

from {

address {

7.21.200.0/28;

76.67.50.0/24;

192.168.15.0/24;

192.168.16.0/24;

192.168.5.0/24;

}

а адрес самого роутера не входит в эти диапазоны? А то просто address это "source or destination", и если адрес на который ломитесь в этом списке, то его пропустит независимо от соурса.

[fenikssss]

from {

address {

7.21.200.0/28;

76.67.50.0/24;

192.168.15.0/24;

192.168.16.0/24;

192.168.5.0/24;

}

а адрес самого роутера не входит в эти диапазоны? А то просто address это "source or destination", и если адрес на который ломитесь в этом списке, то его пропустит независимо от соурса.

 

да на роутере есть прописанные адреса с этих сетей...

[fenikssss]

сделал фильтр

filter protect-re {

term tcp-syn {

from {

protocol tcp;

tcp-initial;

}

then {

syslog;

accept;

}

}

term default {

then {

log;

accept;

}

 

вижу долбят по телнет, коллеги прошу помощи) как исаправить фильтр

[snvoronkov]

вижу долбят по телнет, коллеги прошу помощи) как исаправить фильтр

Бяда, однако, когда маны и даже подсказки читать неохота...

 

Поправьте свой фильтр хотя-бы так:

filter access_acl {
 term terminal_access {
   from {
     source-address {
       7.21.200.0/28;
       76.67.50.0/24;
       192.168.15.0/24;
       192.168.16.0/24;
       192.168.5.0/24;
     }
     protocol tcp;
     destination-port [ ssh telnet ];
   }
   then accept;
 }
 term terminal_access_denied {
   from {
     protocol tcp;
     destination-port [ ssh telnet ];
   }
   then {
     log;
     reject;
   }
 }
 /* А вот за default accept надо бить по рукам шваброй... */
 term default-term {
   then accept;
 }
} 

[fenikssss]

вижу долбят по телнет, коллеги прошу помощи) как исаправить фильтр

Бяда, однако, когда маны и даже подсказки читать неохота...

 

Поправьте свой фильтр хотя-бы так:

filter access_acl {
 term terminal_access {
   from {
     source-address {
       7.21.200.0/28;
       76.67.50.0/24;
       192.168.15.0/24;
       192.168.16.0/24;
       192.168.5.0/24;
     }
     protocol tcp;
     destination-port [ ssh telnet ];
   }
   then accept;
 }
 term terminal_access_denied {
   from {
     protocol tcp;
     destination-port [ ssh telnet ];
   }
   then {
     log;
     reject;
   }
 }
 /* А вот за default accept надо бить по рукам шваброй... */
 term default-term {
   then accept;
 }
} 

 

не будь так критичен) все что знаю о джунипере - гугл) и то, от циски отличие есть))) а этот конфиг достался от прошлого умельца

[snvoronkov]

не будь так критичен) все что знаю о джунипере - гугл) и то, от циски отличие есть))) а этот конфиг достался от прошлого умельца

Тогда вот:

 

1) Junos as a Second Language - https://learningportal.juniper.net/juniper/user_activity_info.aspx?id=3310

2) История одной DDOS атаки на роутер и методы защиты Juniper routing engine - https://habrahabr.ru/post/186566/

[fenikssss]

не будь так критичен) все что знаю о джунипере - гугл) и то, от циски отличие есть))) а этот конфиг достался от прошлого умельца

Тогда вот:

 

1) Junos as a Second Language - https://learningportal.juniper.net/juniper/user_activity_info.aspx?id=3310

2) История одной DDOS атаки на роутер и методы защиты Juniper routing engine - https://habrahabr.ru/post/186566/

 

 

чуть выше писал про дефолт терм... как я понял это зло? снести?)

[snvoronkov]

чуть выше писал про дефолт терм... как я понял это зло? снести?)

Сначала вторую статейку почитайте и разрешите все нужное. А уж потом убирайте default accept.