OpenForum RSS: Junos host-inbound-traffic https://ns.opennet.ru/openforum/vsluhforumID6/936.html Добрый день.<br><br>Не могли бы объяснить назначение праметра dns?<br><br>security-zone untrust {<br> interfaces {<br> at-1/0/0.0 {<br> host-inbound-traffic {<br> system-services {<br> dns;<br><br>Это для резолва с самого файервола? То есть, что бы находясь в консоли srx можно было резолвить? Либо в джуносе есть какой либо кэшируюший днс сервер и это для него?<br><br>Грубо говоря это правило:<br><br>Разрешать траффик инициированный с порта 53 на вход дсл интерфейса? Так?<br>Или это для чего то другого?<br><br>Тот же вопрос про dhcp - это для получения настроек от провайдера?<br><br>Если там же разрешить ssh то он будет принимать траффик ssh с любого хоста в инете? Как настроить, чтоб не с любого? Политикой? Но вроде политики для перехода между зонами, а не для траффика предназначенного самому роутеру. <br>Конечная цель - иметь возможносто заходить на роутер по ssh только с одного внешнего IP.<br><br>Заранее спасибо.<br><br><br><br> Junos host-inbound-traffic (midori) https://ns.opennet.ru/openforum/vsluhforumID6/936.html#2 Sat, 24 Aug 2013 09:30:51 GMT В данной секции определена "зона безопасности" (untrust) к интерфейсу at-1/0/0.0,разрешающая входящий трафик DNS на само устройство. Прохождение трафика между зонами (а их должно быть минимум две) контролируют уже "политики безопасности". SRX модели могут выступать в роли клиента и прокси (сервера) DNS.<br>Чтобы разрешить трафик ssh с 1 ip вы должны использовать простые ACLы (stateless firewall filter), например:<br>[code]#set firewall family inet filter Restrict-at-1/0/0.0 term SSHonly1ip from source-address 1.1.1.1<br>#set firewall family inet filter Restrict-at-1/0/0.0 term SSHonly1ip from destination-port 22<br>#set firewall family inet filter Restrict-at-1/0/0.0 term SSHonly1ip from protocol tcp<br>#set firewall family inet filter Restrict-at-1/0/0.0 term SSHonly1ip then accept log<br>#set interfaces at-1/0/0.0 unit 0 family inet filter input Restrict-at-1/0/0.0[/code]<br>Использование политик возможно только с зоной безопасности "junos-host", которая оперирует трафиком с/на само устройство, например (правила на входя Junos host-inbound-traffic (anonymous) https://ns.opennet.ru/openforum/vsluhforumID6/936.html#1 Fri, 23 Aug 2013 21:39:10 GMT &gt; <br>&gt; host-inbound-traffic { <br>&gt; <br>&gt; system-services { <br>&gt; <br>&gt; dns; <br>&gt; Это для резолва с самого файервола? То есть, что бы находясь в <br>&gt; консоли srx можно было резолвить? Либо в джуносе есть какой либо <br>&gt; кэшируюший днс сервер и это для него?<br><br>Последнее. <br>Насчёт консоли: любое инициированное соединение, которое генерится локально на джунипере, спокойно уйдёт наружу, и для этого соединения будети создан автоматом pass in правило для ответов на входящем интерфейсе.<br><br>&gt; Грубо говоря это правило: <br>&gt; Разрешать траффик инициированный с порта 53 на вход дсл интерфейса? Так?<br><br>Нет. Не просто для входящих на 53, а для входящих для локального сервиса на порту 53 джунипера.<br>Это то же самое, что на классической фряхе сказать<br>allow from any to me in recv ext0<br><br>&gt; Тот же вопрос про dhcp - это для получения настроек от провайдера? <br><br> Нет, это для обращения к джуниперовскому dhcp-серверу/relay.<br>Обращение к провайдерскому dhcp считается локально созданным, см.выше.<br>