The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"juniper packet mode -запрещающее правило"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Изначальное сообщение [ Отслеживать ]

"juniper packet mode -запрещающее правило"  +/
Сообщение от tester0 (ok) on 06-Окт-16, 18:22 
добрый день

juniper srx 240
пытаюсь запретить с сервера ходить в интернет:

схема:

интернет-----(ge-0/0/0 | ge-0/0/1)-------server

создаю запрещающее правило:

term server1 {
            from {
                source-address {
                    X.X.X.X/32;
                }
                destination-port [ 80 443 ];
            }
            then {
                discard;
            }


и оно не работает!

в какую сторону копать?

ps: filter подключен к интерфейсу ge-0/0/0, правило первое в списке, другие запрещающие и разрешающие правила работают...

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "juniper packet mode -запрещающее правило"  +/
Сообщение от anonymous (??) on 06-Окт-16, 19:07 
sh conf int ge-0/0/0
sh conf int ge-0/0/1
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "juniper packet mode -запрещающее правило"  +/
Сообщение от tester0 (ok) on 06-Окт-16, 21:00 
show interfaces ge-0/0/0
vlan-tagging;
unit 437 {
    vlan-id 437;
    family inet {
        filter {
            input local_acl1;
        }
        address Z.Z.Z.Z/29;
    }
}

show interfaces ge-0/0/1
vlan-tagging;
unit 0 {
    vlan-id 1437;
    family inet {
        address A.A.A.A/27;
        address B.B.B.1/26;   <----directly connected to server
        address C.C.C.C/24;
    }
}


Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "juniper packet mode -запрещающее правило"  +/
Сообщение от anonymous (??) on 06-Окт-16, 22:27 
Вы ждёте пакет от своего сервака как входящий на порту с интернетом.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "juniper packet mode -запрещающее правило"  +/
Сообщение от tester0 (ok) on 07-Окт-16, 10:45 
> Вы ждёте пакет от своего сервака как входящий на порту с интернетом.

это надо делать на ge-0/0/1  ?

или как правильно?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "juniper packet mode -запрещающее правило"  +/
Сообщение от anonymous (??) on 07-Окт-16, 11:58 
Ну да, или на ge-0/0/1, или на том же порту 0/0/0 поменять фильтр input на output.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "juniper packet mode -запрещающее правило"  +/
Сообщение от tester0 (ok) on 07-Окт-16, 14:40 
все получилось, спасибо!

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру