Добрый день.Не могли бы объяснить назначение праметра dns?
security-zone untrust {
interfaces {
at-1/0/0.0 {
host-inbound-traffic {
system-services {
dns;Это для резолва с самого файервола? То есть, что бы находясь в консоли srx можно было резолвить? Либо в джуносе есть какой либо кэшируюший днс сервер и это для него?
Грубо говоря это правило:
Разрешать траффик инициированный с порта 53 на вход дсл интерфейса? Так?
Или это для чего то другого?Тот же вопрос про dhcp - это для получения настроек от провайдера?
Если там же разрешить ssh то он будет принимать траффик ssh с любого хоста в инете? Как настроить, чтоб не с любого? Политикой? Но вроде политики для перехода между зонами, а не для траффика предназначенного самому роутеру.
Конечная цель - иметь возможносто заходить на роутер по ssh только с одного внешнего IP.Заранее спасибо.
>
> host-inbound-traffic {
>
> system-services {
>
> dns;
> Это для резолва с самого файервола? То есть, что бы находясь в
> консоли srx можно было резолвить? Либо в джуносе есть какой либо
> кэшируюший днс сервер и это для него?Последнее.
Насчёт консоли: любое инициированное соединение, которое генерится локально на джунипере, спокойно уйдёт наружу, и для этого соединения будети создан автоматом pass in правило для ответов на входящем интерфейсе.> Грубо говоря это правило:
> Разрешать траффик инициированный с порта 53 на вход дсл интерфейса? Так?Нет. Не просто для входящих на 53, а для входящих для локального сервиса на порту 53 джунипера.
Это то же самое, что на классической фряхе сказать
allow from any to me in recv ext0> Тот же вопрос про dhcp - это для получения настроек от провайдера?
Нет, это для обращения к джуниперовскому dhcp-серверу/relay.
Обращение к провайдерскому dhcp считается локально созданным, см.выше.> Если там же разрешить ssh то он будет принимать траффик ssh с
> любого хоста в инете?да
>Как настроить, чтоб не с любого? Политикой?
Да. Но нет лучшего фаервола чем стойкий пароль и надёжная клиентская машина.
Когда работал в хостинге, заметил что последним зачастую пренебрегают, до первого пойманного кейлоггера.> Но вроде политики для перехода между зонами, а не для траффика
> предназначенного самому роутеру.Это именно для разрешения обращения из определённой зоны к локальным сервисам джунипера.
> Конечная цель - иметь возможносто заходить на роутер по ssh только с
> одного внешнего IP.http://www.juniper.net/techpubs/software/junos-security/juno...
В данной секции определена "зона безопасности" (untrust) к интерфейсу at-1/0/0.0,разрешающая входящий трафик DNS на само устройство. Прохождение трафика между зонами (а их должно быть минимум две) контролируют уже "политики безопасности". SRX модели могут выступать в роли клиента и прокси (сервера) DNS.
Чтобы разрешить трафик ssh с 1 ip вы должны использовать простые ACLы (stateless firewall filter), например:#set firewall family inet filter Restrict-at-1/0/0.0 term SSHonly1ip from source-address 1.1.1.1
#set firewall family inet filter Restrict-at-1/0/0.0 term SSHonly1ip from destination-port 22
#set firewall family inet filter Restrict-at-1/0/0.0 term SSHonly1ip from protocol tcp
#set firewall family inet filter Restrict-at-1/0/0.0 term SSHonly1ip then accept log
#set interfaces at-1/0/0.0 unit 0 family inet filter input Restrict-at-1/0/0.0
Использование политик возможно только с зоной безопасности "junos-host", которая оперирует трафиком с/на само устройство, например (правила на входящие соединения):#set security policies from-zone untrust to-zone junos-host policy AllowSSH match source-address 1.1.1.1 destination-address 2.2.2.2 application junos-ssh
#set security policies from-zone untrust to-zone junos-host policy AllowSSH then permit
#set security policies from-zone untrust to-zone junos-host policy AllowSSH then log session-close
#set security zones security-zone untrust host-inbound-traffic system-services ssh