>            
> host-inbound-traffic {
>            
>     system-services {
>            
>         dns;
> Это для резолва с самого файервола? То есть, что бы находясь в
> консоли srx можно было резолвить? Либо в джуносе есть какой либо
> кэшируюший днс сервер и это для него?

Последнее.
Насчёт консоли: любое инициированное соединение, которое генерится локально на джунипере, спокойно уйдёт наружу, и для этого соединения будети создан автоматом pass in правило для ответов на входящем интерфейсе.

> Грубо говоря это правило:
> Разрешать траффик инициированный с порта 53 на вход дсл интерфейса? Так?

Нет. Не просто для входящих на 53, а для входящих для локального сервиса на порту 53 джунипера.
Это то же самое, что на классической фряхе сказать
allow from any to me in recv ext0

> Тот же вопрос про dhcp - это для получения настроек от провайдера?

Нет, это для обращения к джуниперовскому dhcp-серверу/relay.
Обращение к провайдерскому dhcp считается локально созданным, см.выше.

> Если там же разрешить ssh то он будет принимать траффик ssh с
> любого хоста в инете?

да

>Как настроить, чтоб не с любого? Политикой?

Да. Но нет лучшего фаервола чем стойкий пароль и надёжная клиентская машина.
Когда работал в хостинге, заметил что последним зачастую пренебрегают, до первого пойманного кейлоггера.

> Но вроде политики для перехода между зонами, а не для траффика
> предназначенного самому роутеру.

Это именно для разрешения обращения из определённой зоны к локальным сервисам джунипера.

> Конечная цель - иметь возможносто заходить на роутер по ssh только с
> одного внешнего IP.

http://www.juniper.net/techpubs/software/junos-security/juno...

В данной секции определена "зона безопасности" (untrust) к интерфейсу at-1/0/0.0,разрешающая входящий трафик DNS на само устройство. Прохождение трафика между зонами (а их должно быть минимум две) контролируют уже "политики безопасности". SRX модели могут выступать в роли клиента и прокси (сервера) DNS.
Чтобы разрешить трафик ssh с 1 ip вы должны использовать простые ACLы (stateless firewall filter), например:

#set firewall family inet filter Restrict-at-1/0/0.0 term SSHonly1ip from source-address 1.1.1.1
#set firewall family inet filter Restrict-at-1/0/0.0 term SSHonly1ip from destination-port 22
#set firewall family inet filter Restrict-at-1/0/0.0 term SSHonly1ip from protocol tcp
#set firewall family inet filter Restrict-at-1/0/0.0 term SSHonly1ip then accept log
#set interfaces at-1/0/0.0 unit 0 family inet filter input Restrict-at-1/0/0.0

Использование политик возможно только с зоной безопасности "junos-host", которая оперирует трафиком с/на само устройство, например (правила на входящие соединения):

#set security policies from-zone untrust to-zone junos-host policy AllowSSH match source-address 1.1.1.1 destination-address 2.2.2.2 application junos-ssh
#set security policies from-zone untrust to-zone junos-host policy AllowSSH then permit
#set security policies from-zone untrust to-zone junos-host policy AllowSSH then log session-close
#set security zones security-zone untrust host-inbound-traffic system-services ssh