The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"проблема с juniper Firewall"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Изначальное сообщение [ Отслеживать ]

"проблема с juniper Firewall"  +/
Сообщение от tester0 (ok) on 20-Авг-15, 19:50 
Здравствуйте!

пытаюсь настроить Juniper Firewall SRX 240:

требуется открыть доступ с сетей A.A.A.0/27 и B.B.B.0/27  к сети C.C.C.0/27

схема:
http://s17.postimg.org/v7st6itlb/Drawing4.jpg


сеть C.C.C. имеет в качестве default gw C.C.C.1
сети A.A.A. и B.B.B. имеют в качестве шлюза другое оборудование, т.е. juniper для них не default gw,  но в таблице маршрутизации сеть C.C.C. завернута на Juniper

после включения firewall получаю странное сообщение при попытке пинговать C.C.C.2
TTL expired in transit,  trace, пущенный до c.c.c.2 доходит до juniper и пытается уйти через его default gw.

без firewall такой проблемы не наблюдается

видимо криво настроил acl


заничамая часть конфига:
--------------------------
interfaces {
    ge-0/0/0 {
        vlan-tagging;
        unit 437 {
            vlan-id 437;
            family inet {
                filter {
                    input local_acl1;
                }
                address A.A.A.2/27;
            }
        }
    }
    ge-0/0/1 {
        vlan-tagging;
        unit 0 {
            vlan-id 437;
            family inet {
                address C.C.C.1/27;
            }
        }
    }
}

routing-options {
    static {
        route 0.0.0.0/0 next-hop A.A.A.X;
    }
}

forwarding-options {
        family {
            mpls {
                mode packet-based;
            }
        }
    }


firewall {
    family inet {
        filter local_acl1 {
            term ournets {
                from {
                    source-address {
                    A.A.A.0/27;
                    B.B.B.0/27;
                    }
                }
                then accept;

     term icmp {
                from {
                    protocol icmp;
                }
                then accept;


--------------------------
прошу сильно не пинать -я не сетевой инженер, больше по soft'у


Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "проблема с juniper Firewall"  +/
Сообщение от anonymous (??) on 20-Авг-15, 20:58 
http://kb.juniper.net/InfoCenter/index?page=content&id=KB16556

Нужно настроить zones и отношения между ними.
В руках таких девайсов давно не было , но насколько помню - firewall используется при работе в packet-based режиме.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "проблема с juniper Firewall"  +/
Сообщение от tester0 (ok) on 21-Авг-15, 11:39 
> http://kb.juniper.net/InfoCenter/index?page=content&id=KB16556
> Нужно настроить zones и отношения между ними.
> В руках таких девайсов давно не было , но насколько помню -
> firewall используется при работе в packet-based режиме.

спасибо за ответ,
настроена зона trust и ассоциированна со всеми интерфейсами,
железка работает в пакетном режиме

    forwarding-options {
        family {
            mpls {
                mode packet-based;
            }
        }
    }

    zones {
        security-zone trust {
            host-inbound-traffic {
                system-services {
                    all;
                }
                protocols {
                    all;
                }
            }
            interfaces {
                all;
            }
        }
    }


все делаю по документации, вроде все должно быть в порядке,
видимо что-то ускользает от внимания...

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "проблема с juniper Firewall"  +/
Сообщение от Zhuravlev Ilya on 21-Авг-15, 11:42 
Если настраиваете zones - эти настройки не работают в packet-based.
Packet-based - firewall, flow-based - zones.
Как бы или туда или туда, и учтите что NAT/PAT работает только во flow-based режиме.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "проблема с juniper Firewall"  +/
Сообщение от tester0 (ok) on 21-Авг-15, 12:38 
> Если настраиваете zones - эти настройки не работают в packet-based.
> Packet-based - firewall, flow-based - zones.
> Как бы или туда или туда, и учтите что NAT/PAT работает только
> во flow-based режиме.

ясно, спасибо за наводку.


раскопал, что на directly-connected интерфейсе ge-0/0/1 из сети c.c.c. не видно даже маков серверов...

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру