Здравствуйте!

пытаюсь настроить Juniper Firewall SRX 240:

требуется открыть доступ с сетей A.A.A.0/27 и B.B.B.0/27  к сети C.C.C.0/27

схема:
http://s17.postimg.org/v7st6itlb/Drawing4.jpg

сеть C.C.C. имеет в качестве default gw C.C.C.1
сети A.A.A. и B.B.B. имеют в качестве шлюза другое оборудование, т.е. juniper для них не default gw,  но в таблице маршрутизации сеть C.C.C. завернута на Juniper

после включения firewall получаю странное сообщение при попытке пинговать C.C.C.2
TTL expired in transit,  trace, пущенный до c.c.c.2 доходит до juniper и пытается уйти через его default gw.

без firewall такой проблемы не наблюдается

видимо криво настроил acl

заничамая часть конфига:
--------------------------
interfaces {
    ge-0/0/0 {
        vlan-tagging;
        unit 437 {
            vlan-id 437;
            family inet {
                filter {
                    input local_acl1;
                }
                address A.A.A.2/27;
            }
        }
    }
    ge-0/0/1 {
        vlan-tagging;
        unit 0 {
            vlan-id 437;
            family inet {
                address C.C.C.1/27;
            }
        }
    }
}

routing-options {
    static {
        route 0.0.0.0/0 next-hop A.A.A.X;
    }
}

forwarding-options {
        family {
            mpls {
                mode packet-based;
            }
        }
    }

firewall {
    family inet {
        filter local_acl1 {
            term ournets {
                from {
                    source-address {
                    A.A.A.0/27;
                    B.B.B.0/27;
                    }
                }
                then accept;

     term icmp {
                from {
                    protocol icmp;
                }
                then accept;

--------------------------
прошу сильно не пинать -я не сетевой инженер, больше по soft'у

• проблема с juniper Firewall,anonymous, 20:58 , 20-Авг-15
  • проблема с juniper Firewall,tester0, 11:39 , 21-Авг-15
    • проблема с juniper Firewall,Zhuravlev Ilya, 11:42 , 21-Авг-15
      • проблема с juniper Firewall,tester0, 12:38 , 21-Авг-15

http://kb.juniper.net/InfoCenter/index?page=content&id=KB16556

Нужно настроить zones и отношения между ними.
В руках таких девайсов давно не было , но насколько помню - firewall используется при работе в packet-based режиме.

> http://kb.juniper.net/InfoCenter/index?page=content&id=KB16556
> Нужно настроить zones и отношения между ними.
> В руках таких девайсов давно не было , но насколько помню -
> firewall используется при работе в packet-based режиме.

спасибо за ответ,
настроена зона trust и ассоциированна со всеми интерфейсами,
железка работает в пакетном режиме

    forwarding-options {
        family {
            mpls {
                mode packet-based;
            }
        }
    }

    zones {
        security-zone trust {
            host-inbound-traffic {
                system-services {
                    all;
                }
                protocols {
                    all;
                }
            }
            interfaces {
                all;
            }
        }
    }

все делаю по документации, вроде все должно быть в порядке,
видимо что-то ускользает от внимания...

Если настраиваете zones - эти настройки не работают в packet-based.
Packet-based - firewall, flow-based - zones.
Как бы или туда или туда, и учтите что NAT/PAT работает только во flow-based режиме.

> Если настраиваете zones - эти настройки не работают в packet-based.
> Packet-based - firewall, flow-based - zones.
> Как бы или туда или туда, и учтите что NAT/PAT работает только
> во flow-based режиме.

ясно, спасибо за наводку.

раскопал, что на directly-connected интерфейсе ge-0/0/1 из сети c.c.c. не видно даже маков серверов...