hvostat: Jeeslaya (Default)
Задача:
Есть сеть за NAT 192.168.0.1/24.
Внешний IP у её роутера 1.1.1.1.
На роутере настроен DST NAT 1.1.1.1:80 => 192.168.0.2:80
"Cнаружи" все работает, но если пользователь захочет из самой сети зайти на 1.1.1.1:80, то получит экологически чистый кукиш с маслом вместо вебсайта.

Решение:
Воспользоваться технологией NAT loopback / hairpin NAT.

В Juniper SRX настраивается следующим образом:

set security nat source rule-set hairpin from zone default
set security nat source rule-set hairpin to zone default
set security nat source rule-set hairpin rule hairpin-source match source-address 192.168.0.1/24
set security nat source rule-set hairpin rule hairpin-source then source-nat interface

set security nat destination pool server address 192.168.0.2/32
set security nat destination rule-set hairpin from zone default
set security nat destination rule-set hairpin rule hairpin-destination match destination-address 1.1.1.1/32
set security nat destination rule-set hairpin rule hairpin-destination then destination-nat pool server

set security policies from-zone default to-zone default policy INTRA-default match source-address any
set security policies from-zone default to-zone default policy INTRA-default match destination-address any
set security policies from-zone default to-zone default policy INTRA-default match application any
set security policies from-zone default to-zone default policy INTRA-default then permit

__
hvostat: Jeeslaya (Default)
Как настроить сабж?
Очень просто:

Основное отличие от роутера с белым(и) IP - это строка
destination-address 0.0.0.0/0;

Пример конфигурации:

destination {
pool INTERNAL-SERVER-POOL {
address 192.168.0.1/32 port 8080;
}
rule-set PORT-FORWARD {
from zone untrust;
rule APPLICATION_01 {
match {
destination-address 0.0.0.0/0;
destination-port {
8080;
}
}
then {
destination-nat {
pool {
INTERNAL-HOST;
}
}
}
}
}
}



Дополнительно:
- внести внутренний адрес сервера в adddress book (global или в соотвествующей security zone)
- написать policy, разрешающую запросы снаружи на сервер

__
hvostat: Jeeslaya (Default)
Есть порт в который приходят несколько vlan-ов.
Задача: вонзиться в каждый из них и маршрутизировать/коммутировать кадры и пакетики туда и оттуда.

Есть два варианта: )

Очень рекомендую в конфигурации vlan-ов придерживаться правила "номер виртуального интерфейса = номер vlan-а".
_
hvostat: Jeeslaya (Default)
Если вам кажется, что ваш SRX шлёт пакеты куда-то не туда или зохавывает где-то внутри себя не шлёт вообще, можно воспользоваться следующими командами:

Показать сессию:
show security flow session source-prefix 192.168.1.1 destination-prefix 192.168.2.1 protocol tcp source-port 8080 destination-port 80 extensive

Показать полиси, под которые попадает связка "IP-адреса коммуникантов, зоны коммуникантов, протоколы и порты":
show security match-policies destination-ip 192.168.1.7 source-ip 192.168.2.1 to-zone Trust from-zone Untrust protocol tcp source-port 8080 destination-port 80 result-count 10

Показать, куда замаршрутизируется пакет с адресом 1.2.3.4:
show route forwarding–table destination 1.2.3.4
если же хочется более глубоких ощущений, то дописать после адреса "extensive"

_
hvostat: Jeeslaya (Default)
Как известно, JunOS при коммите перечитывает не весь конфиг, а только ту часть, которая была изменена.
Иногда это может вызвать странное поведение железки.

Заставить систему и демонов в ней перечитать конфиг целиком можно с помощью команды:
commit full

Набирать придётся целиком, это команда скрытая и с помощью автоподставновки не вводится.

_
hvostat: Jeeslaya (Default)
Публикую по просьбам трудящихся. ;)

Задача: усилить безопасность, отказаться от аутентификации по паролю в пользу аутентификации по RSA-ключам.

Решение (для Windows):
1) Загружаем PuttyGen
2) Выбираем параметры:
Type of key: "SSH-2 RSA"
Number of bits: "2048"
3) Жмачим кнопку "Generate"
4) Шевелим мышою для генерирования случайных чисел
5) Пишем коммент "JunOS Key"
6) НЕ задаём пароль
7) Копируем открытый ключ из окна выше:
"ssh-rsa AAAAB3Nz [ ... ] Zow== JunOS Key"
8) Сохраняем файл в надёжное хранилище.

Вваливаемся в роутер:
1) Переходим в режим редактирования конфигурации:
edit
2) Редактируем настройки доступа:
edit system login
3) Добавляем пользователя:
set user Stepan class super-user full-name "Stepan G. Tabooretkin" uid 2003 authentication ssh-rsa "ssh-rsa AAAAB3Nz [ ... ] Zow== JunOS Key"
4) Да, мы всё это серьезно:
commit

Вход в систему:
Запускаем PAgent и "натравливаем" его на наш файл с ЗАКРЫТЫМ ключом, который создавали в шаге 1.

Запускаем Putty:
1) В профиле подключения указываем Connections=> Data => Login details => Auto-login username "Stepan" и сохраняем настройки
2) Нажимаем "Open"
3) ???
4) PROFIT!!!

_
hvostat: Jeeslaya (Default)
Задача: защитить SSH от ебучих китайцев.

Решение:
1) Вваливаемся в CLI
2) Редактируем конфигурацию:
edit system login retry-options
3) Настраиваем:
set tries-before-disconnect 5
// Количество попыток ввода пароля, прежде чем активируется задержка:
set backoff-threshold 2
// Блокируем юзверя на 10 секунд:
set backoff-factor 10
// Время для ввода пароля:
set minimum-time 20
4) Да, это мы всё серьезно:
commit

_
hvostat: Jeeslaya (Default)
Задача: настроить CA, сгенерировать запрос в CA, заполучить сертификат от CA и установить его.

0) Копируем CA-сертификат.
1.1) Забираем сертификат с FTP:
file copy ftp://ftp-хвостат.com/blackcat-ca.cer blackcat-ca.cer

1.2) Копируем прямо из консоли:
start shell
cd /tmp
vi blackcat-ca.cer
Нажимаем Insert и вставляем содержимое файла с сертификатом в формате Base64
Нажимаем ESC
:w
Нажимаем ESC еще раз
:x
cli

2) Вваливаемся в CLI и редактируем конфиг:
edit
3) Создаём профиль CA и указываем, откуда забирать CRL с частотой раз в 48 часов:
set security pki ca-profile blackcat ca-identity hvostat-BLACKCAT-CA revocation-check crl refresh-interval 48 url http://www.хвостат.com/certcrl.crl
4) Указываем интервал времени развёртывания сертификата в 30 секунд:
set security pki ca-profile blackcat enrollment retry 30
5) Указываем интервал времени повторных попыток развёртывания сертификата в 2400 секунд:
set security pki ca-profile blackcat enrollment retry-interval 2400
6) Да, мы всё это серьёзно:
commit
6) Назначаем CA-сертификат на профиль CA:
request security pki ca-certificate load ca-profile BlackCat-CA filename /tmp/blackcat-ca.crt

Выписываем сертификат для HTTPS:
0) Выходим из режима редактирования конфига
1) Генерируем пару открытый-закрытый ключ длиной 2048 бит:
request security pki generate-key-pair certificate-id https-cert size 2048
2) Генерируем запрос в CA:
request security pki generate-certificate-request certificate-id https-cert subject "CN=SRX-07.хвостат.com,OU=IT,O=LongTail LLC,L=Moscow,ST=Moscow,C=RU" domain-name srx-07.хвостат.com digest sha-256
8) Полученный блок запроса в формате Base64 отправляем в CA и забираем оттуда готовый сертификат и записываем его на FTP.
9.1) Забираем сертификат с FTP:
file copy ftp://ftp-хвостат.com/certnew.cer certnew.cer

9.2) Копируем прямо из консоли:
start shell
cd /tmp
vi certnew.cer
Нажимаем Insert и вставляем содержимое файла с сертификатом в формате Base64
Нажимаем ESC
:w
Нажимаем ESC еще раз
:x
cli

10) Загружаем сертификат в криптохранилище:
request security pki local-certificate load certificate-id https-cert filename certnew.cer
11) Редактируем конфиг:
edit
12) Назначаем сертификат, например на https-web-management:
set system services web-management https pki-local-certificate https-cert
13) Да, мы всё это серьёзно:
commit
14) ???
15) Profit!

_

Profile

hvostat: Jeeslaya (Default)
hvostat

June 2017

S M T W T F S
    123
45678910
11121314151617
181920212223 24
252627282930 

Syndicate

RSS Atom

Style Credit

Expand Cut Tags

No cut tags
Page generated 20 September 2017 02:12
Powered by Dreamwidth Studios