fenikssss Опубликовано 20 сентября, 2016 · Жалоба Здравствуйте коллеги, пишу вам в надежде получить ответ логики работы джунипера. Есть МХ,настроен telnet ssh, у роутера несколько интерфейсов: есть интерфейс с fullview bgp, есть интерфейс с пиррингом bgp, есть интерфейс с роутером оспф, так или иначе по всем ип адресам? прописанным на интерфейсе я могу зателнетится. в циске все проще было: вешает на vty аксесс лист и не паришься, а тут? я создал фильтр: fominyh@jun-core-sm> show configuration firewall family inet filter access_router term terminal_access { from { address { 7.21.200.0/28; 76.67.5.0/24; 192.168.15.0/24; 192.168.5.0/24; } protocol tcp; port [ ssh telnet ]; } then accept; } term terminal_access_icmp { from { address { 7.21.200.0/28; 76.67.5.0/24; 192.168.15.0/24; } protocol icmp; } then accept; } term terminal_access_denied { from { protocol tcp; port [ ssh telnet ]; } then { log; discard; } } fominyh@jun-core-sm> и неужели мне его вешать на каждый интерфейс будь он бгп стыком или оспф роутером? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 20 сентября, 2016 · Жалоба и неужели мне его вешать на каждый интерфейс будь он бгп стыком или оспф роутером? Только на lo0. https://www.juniper.net/techpubs/en_US/junos15.1/topics/concept/interface-security-loopback-understanding.html Packet filtering—Stateless firewall filters can be applied to the loopback address to filter packets originating from, or destined for, the Routing Engine. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fenikssss Опубликовано 20 сентября, 2016 · Жалоба и неужели мне его вешать на каждый интерфейс будь он бгп стыком или оспф роутером? Только на lo0. https://www.juniper.net/techpubs/en_US/junos15.1/topics/concept/interface-security-loopback-understanding.html Packet filtering—Stateless firewall filters can be applied to the loopback address to filter packets originating from, or destined for, the Routing Engine. вот по идее так и сделано... странно почему я могу зателнетится с ип адреса своей автономной сети, не относящейся к списку разрешенных. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mystray Опубликовано 20 сентября, 2016 · Жалоба вот по идее так и сделано Покажите Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fenikssss Опубликовано 20 сентября, 2016 · Жалоба вот по идее так и сделано Покажите lo0 { unit 0 { family inet { filter { input access_acl; } address 127.0.0.1/32; } } filter access_acl { term terminal_access { from { address { 7.21.200.0/28; 76.67.50.0/24; 192.168.15.0/24; 192.168.16.0/24; 192.168.5.0/24; } protocol tcp; port [ ssh telnet ]; } then accept; } term terminal_access_denied { from { protocol tcp; port [ ssh telnet ]; } then { log; reject; } } term default-term { then accept; } } Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mystray Опубликовано 20 сентября, 2016 · Жалоба from { address { 7.21.200.0/28; 76.67.50.0/24; 192.168.15.0/24; 192.168.16.0/24; 192.168.5.0/24; } а адрес самого роутера не входит в эти диапазоны? А то просто address это "source or destination", и если адрес на который ломитесь в этом списке, то его пропустит независимо от соурса. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fenikssss Опубликовано 21 сентября, 2016 · Жалоба from { address { 7.21.200.0/28; 76.67.50.0/24; 192.168.15.0/24; 192.168.16.0/24; 192.168.5.0/24; } а адрес самого роутера не входит в эти диапазоны? А то просто address это "source or destination", и если адрес на который ломитесь в этом списке, то его пропустит независимо от соурса. да на роутере есть прописанные адреса с этих сетей... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fenikssss Опубликовано 21 сентября, 2016 · Жалоба сделал фильтр filter protect-re { term tcp-syn { from { protocol tcp; tcp-initial; } then { syslog; accept; } } term default { then { log; accept; } вижу долбят по телнет, коллеги прошу помощи) как исаправить фильтр Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 21 сентября, 2016 · Жалоба вижу долбят по телнет, коллеги прошу помощи) как исаправить фильтр Бяда, однако, когда маны и даже подсказки читать неохота... Поправьте свой фильтр хотя-бы так: filter access_acl { term terminal_access { from { source-address { 7.21.200.0/28; 76.67.50.0/24; 192.168.15.0/24; 192.168.16.0/24; 192.168.5.0/24; } protocol tcp; destination-port [ ssh telnet ]; } then accept; } term terminal_access_denied { from { protocol tcp; destination-port [ ssh telnet ]; } then { log; reject; } } /* А вот за default accept надо бить по рукам шваброй... */ term default-term { then accept; } } Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fenikssss Опубликовано 21 сентября, 2016 · Жалоба вижу долбят по телнет, коллеги прошу помощи) как исаправить фильтр Бяда, однако, когда маны и даже подсказки читать неохота... Поправьте свой фильтр хотя-бы так: filter access_acl { term terminal_access { from { source-address { 7.21.200.0/28; 76.67.50.0/24; 192.168.15.0/24; 192.168.16.0/24; 192.168.5.0/24; } protocol tcp; destination-port [ ssh telnet ]; } then accept; } term terminal_access_denied { from { protocol tcp; destination-port [ ssh telnet ]; } then { log; reject; } } /* А вот за default accept надо бить по рукам шваброй... */ term default-term { then accept; } } не будь так критичен) все что знаю о джунипере - гугл) и то, от циски отличие есть))) а этот конфиг достался от прошлого умельца Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 21 сентября, 2016 · Жалоба не будь так критичен) все что знаю о джунипере - гугл) и то, от циски отличие есть))) а этот конфиг достался от прошлого умельца Тогда вот: 1) Junos as a Second Language - https://learningportal.juniper.net/juniper/user_activity_info.aspx?id=3310 2) История одной DDOS атаки на роутер и методы защиты Juniper routing engine - https://habrahabr.ru/post/186566/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fenikssss Опубликовано 21 сентября, 2016 · Жалоба не будь так критичен) все что знаю о джунипере - гугл) и то, от циски отличие есть))) а этот конфиг достался от прошлого умельца Тогда вот: 1) Junos as a Second Language - https://learningportal.juniper.net/juniper/user_activity_info.aspx?id=3310 2) История одной DDOS атаки на роутер и методы защиты Juniper routing engine - https://habrahabr.ru/post/186566/ чуть выше писал про дефолт терм... как я понял это зло? снести?) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 21 сентября, 2016 · Жалоба чуть выше писал про дефолт терм... как я понял это зло? снести?) Сначала вторую статейку почитайте и разрешите все нужное. А уж потом убирайте default accept. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...