Ограничение доступа к управлению на Juniper MX

В этой статье я приведу пример ограничения доступа к управлению Juniper MX204, с использованием брандмауэра (firewall).

Допустим сервисы SSH и Telnet активированы, создан пользователь и назначен IP адрес какому либо интерфейсу:

configure
set system services ssh
set system services telnet
show system services

set system login user ixnfo authentication plain-text-password
set system login user ixnfo class super-user

set interfaces fxp0 unit 0 family inet address 192.168.24.200/24
set routing-options static route 0.0.0.0/0 next-hop 192.168.24.1 no-readvertise
show routing-options

set interfaces lo0 unit 0 family inet address 172.17.0.1/21

Теперь приступим к созданию списка разрешенных IP адресов, с которых можно будет подключиться к устройству по SSH или Telnet, например назовем его «manager-ip»:

set policy-options prefix-list manager-ip 192.168.24.0/24
set policy-options prefix-list manager-ip 10.0.5.1/32
show policy-options

edit policy-options
delete prefix-list manager-ip 10.0.5.1/32
show
exit

Теперь создадим в брандмауэре фильтр, например назовем его «limit-mgmt-access», в котором запретим всем подключение к tcp портам ssh и telnet, а разрешим только IP адресам указанным в списке manager-ip:

set firewall filter limit-mgmt-access term block_non_manager from source-address 0.0.0.0/0
set firewall filter limit-mgmt-access term block_non_manager from source-prefix-list manager-ip except
set firewall filter limit-mgmt-access term block_non_manager from protocol tcp
set firewall filter limit-mgmt-access term block_non_manager from destination-port ssh
set firewall filter limit-mgmt-access term block_non_manager from destination-port telnet
set firewall filter limit-mgmt-access term block_non_manager then log
set firewall filter limit-mgmt-access term block_non_manager then discard
set firewall filter limit-mgmt-access term accept_everything_else then accept

Правило «then log» позволяет писать логи подключений для отладки и его можно не указывать или позже удалить.
Последнее правило обязательно укажем, оно разрешает весь остальной входящий трафик.

Посмотрим на созданный фильтр в брандмауэре:

run show firewall

Применим созданный фильтр на нужные интерфейсы с IP адресами:

set interfaces lo0 unit 0 family inet filter input limit-mgmt-access
set interfaces fxp0 unit 0 family inet filter input limit-mgmt-access
show interfaces

Выйдем в CLI и посмотрим логи брандмауэра:

exit
show firewall log
clear firewall log

Из CLI также можно подключаться по SSH к другим устройствам:

ssh user@10.0.5.254
exit

Смотрите также мою статью:
Настройка Juniper MX204

Оставьте комментарий

Добавить комментарий