https://www.opennet.ru/openforum/vsluhforumID6/2063.html ex3200<br>Как можно организовать внешнюю правку файрвола?<br>Смысл такой: есть белые адреса во внутренней сети, к которым обращаться разрешено не всем, эти не все (term 10) и белые адреса (term 20) описываются примерно так:<br><br># show firewall family ethernet-switching <br>filter uplink {<br> term 10 {<br> from {<br> source-address {<br> 1.2.3.4/32;<br> 5.6.7.8/32;<br> }<br> }<br> then {<br> accept;<br> }<br> }<br> term 20 {<br> from {<br> destination-address {<br> x.x.x.x/32;<br> }<br> }<br> then {<br> discard;<br> }<br> }<br> term 200 {<br> then accept;<br> }<br>}<br><br>в term 10 хочется добавлять адреса автоматически, с внешнего сервера, не залезая в жунипер ручками, а зайдя, например, на какую-нибудь страничку и введя пароль и адрес который нужно добавить.<br>В snmp такой функциональности не нашел, можно написать expect-скрипт, но это не очень красиво...<br> https://www.opennet.ru/openforum/vsluhforumID6/2063.html#7 Sun, 07 May 2017 05:48:31 GMT Если кому интересно, то задачу решил так:<br><br>В firewall правила с prefix-list:<br><br> term 21 {<br> from {<br> source-prefix-list {<br> ACCEPT-IP-CLIENTS;<br> }<br> destination-prefix-list {<br> DISCARD-IP-RESOURCES;<br> }<br> }<br> then accept;<br> }<br> term 22 {<br> from {<br> destination-prefix-list {<br> DISCARD-IP-RESOURCES;<br> }<br> }<br> then {<br> discard;<br> count discard-ip-count;<br> }<br> }<br><br>таким образом моя задача свелась только к добавлению/удалению ip-адресов в соответсвующие prefix-list:<br>set policy-options prefix-list ACCEPT-IP-CLIENTS 1.2.3.4/32<br>set policy-options prefix-list DISCARD-IP-RESOURCES 10.10.10.111/32<br><br><br>для внешнего доступа сделал юзера с ограниченным доступом:<br><br>login {<br> class POLICYEDIT {<br> permissions [ admin configure rout https://www.opennet.ru/openforum/vsluhforumID6/2063.html#6 Sat, 05 Nov 2016 13:21:46 GMT На джунике есть flowspec, анонсируйте ему фаервольные правила по bgp.<br> https://www.opennet.ru/openforum/vsluhforumID6/2063.html#5 Thu, 03 Nov 2016 17:01:12 GMT А еще есть Junos PyEZ + Django<br> https://www.opennet.ru/openforum/vsluhforumID6/2063.html#4 Thu, 03 Nov 2016 12:29:58 GMT <br>&gt; в term 10 хочется добавлять адреса автоматически, с внешнего сервера, не залезая <br>&gt; в жунипер ручками, а зайдя, например, на какую-нибудь страничку и введя <br>&gt; пароль и адрес который нужно добавить.<br>&gt; В snmp такой функциональности не нашел, можно написать expect-скрипт, но это не <br>&gt; очень красиво...<br><br>У них есть xmlrpc api, пишите страничку, которая будет кидать ему запрос на xml с новым адресом и коммитить изменения.<br> https://www.opennet.ru/openforum/vsluhforumID6/2063.html#3 Thu, 03 Nov 2016 04:23:45 GMT Да, действительно (подзабыл уже) <br>dynamic можно использовать только в policy.<br>Например, для политик настройки маршрутизации.<br> https://www.opennet.ru/openforum/vsluhforumID6/2063.html#2 Wed, 02 Nov 2016 16:50:14 GMT &gt; Если добавлять часто изменяемые адреса, лучше configure dynamic, <br>&gt; в правиле файрвола использовать префикс лист.<br><br>Как частичное решение - интересно, но не работает, к сожалению<br><br># show firewall family ethernet-switching filter uplink<br><br>term 100 {<br> from {<br> source-prefix-list {<br> test;<br> }<br> }<br> then accept;<br>}<br>term 110 {<br> from {<br> destination-address {<br> x.x.x.x/32;<br> }<br> }<br> then discard;<br>}<br>term 200 { <br> then accept; <br>} <br><br># show policy-options prefix-list test <br>dynamic-db;<br><br>&gt; configure dynamic<br><br># show policy-options prefix-list test <br>8.8.8.8/32;<br><br>т.е. к х.х.х.х разрешен доступ только с 8.8.8.8, но x.x.x.x пингуется. Если dynamic-db заменить непосредственно на ip-адреса, то правила начинают работать.<br><br>Вот здесь, у народа, dynamic-db в filter тоже не заработал (правда там SRX): http://forums.juniper.n https://www.opennet.ru/openforum/vsluhforumID6/2063.html#1 Wed, 02 Nov 2016 08:59:57 GMT Если добавлять часто изменяемые адреса, лучше configure dynamic,<br>в правиле файрвола использовать префикс лист.<br><br><br>&gt;[оверквотинг удален]<br>&gt; } <br>&gt; term 200 { <br>&gt; then accept; <br>&gt; } <br>&gt; } <br>&gt; в term 10 хочется добавлять адреса автоматически, с внешнего сервера, не залезая <br>&gt; в жунипер ручками, а зайдя, например, на какую-нибудь страничку и введя <br>&gt; пароль и адрес который нужно добавить.<br>&gt; В snmp такой функциональности не нашел, можно написать expect-скрипт, но это не <br>&gt; очень красиво...<br><br>