Juniper SSG5 Help!

Question

Juniper SSG5 Help!

#1 resposta do (3 votos)

3

Novato no firewall aqui. . Eu preciso da minha zona de confiança para acessar a internet, mas o problema é que eu não posso fazer isso acontecer. Até agora, a partir da zona de confiança, eu sou capaz de pingar o IP na zona de desarranjo, mas não consigo pingar os IPs dentro da zona de confiança ou bgroup0.

Eu também posso usar o telnet dentro da zona de confiança para a zona de desconfiança.

Aqui está minha configuração:

{
unset key protection enable
set clock timezone 0
set vrouter trust-vr sharable
set vrouter "untrust-vr"
exit
set vrouter "trust-vr"
unset auto-route-export
exit
set alg appleichat enable
unset alg appleichat re-assembly enable
set alg sctp enable
set auth-server "Local" id 0
set auth-server "Local" server-name "Local"
set auth default auth server "Local"
set auth radius accounting port 1646
set admin name "netscreen"
set admin password "I'm an idiot for including my password on a public site"
set admin auth web timeout 10
set admin auth dial-in timeout 3
set admin auth server "Local"
set admin format dos
set zone "Trust" vrouter "trust-vr"
set zone "Untrust" vrouter "trust-vr"
set zone "DMZ" vrouter "trust-vr"
set zone "VLAN" vrouter "trust-vr"
set zone "Untrust-Tun" vrouter "trust-vr"
set zone "Trust" tcp-rst 
set zone "Untrust" block 
unset zone "Untrust" tcp-rst 
set zone "MGT" block 
unset zone "V1-Trust" tcp-rst 
unset zone "V1-Untrust" tcp-rst 
set zone "DMZ" tcp-rst 
unset zone "V1-DMZ" tcp-rst 
unset zone "VLAN" tcp-rst 
set zone "Untrust" screen tear-drop
set zone "Untrust" screen syn-flood
set zone "Untrust" screen ping-death
set zone "Untrust" screen ip-filter-src
set zone "Untrust" screen land
set zone "V1-Untrust" screen tear-drop
set zone "V1-Untrust" screen syn-flood
set zone "V1-Untrust" screen ping-death
set zone "V1-Untrust" screen ip-filter-src
set zone "V1-Untrust" screen land
set interface "ethernet0/0" zone "Untrust"
set interface "ethernet0/1" zone "DMZ"
set interface "bgroup0" zone "Trust"
set interface bgroup0 port ethernet0/2
set interface bgroup0 port ethernet0/3
set interface bgroup0 port ethernet0/4
set interface bgroup0 port ethernet0/5
set interface bgroup0 port ethernet0/6
unset interface vlan1 ip
set interface ethernet0/0 ip 192.168.200.225/24
set interface ethernet0/0 route
set interface bgroup0 ip 192.168.201.1/24
set interface bgroup0 nat
set interface ethernet0/0 gateway 192.168.200.1
set interface "ethernet0/0" pmtu ipv4
set interface "bgroup0" pmtu ipv4
unset interface vlan1 bypass-others-ipsec
unset interface vlan1 bypass-non-ip
set interface ethernet0/0 ip manageable
set interface bgroup0 ip manageable
set interface ethernet0/0 manage ping
set interface ethernet0/0 manage ssh
set interface ethernet0/0 manage telnet
set interface ethernet0/0 manage snmp
set interface ethernet0/0 manage ssl
set interface ethernet0/0 manage web
set interface ethernet0/0 manage ident-reset
set interface bgroup0 manage mtrace
set interface bgroup0 dhcp server service
set interface bgroup0 dhcp server auto
set interface bgroup0 dhcp server ip 192.168.201.10 to 192.168.201.20 
unset interface bgroup0 dhcp server config next-server-ip
set interface "serial0/0" modem settings "USR" init "AT&F"
set interface "serial0/0" modem settings "USR" active
set interface "serial0/0" modem speed 115200
set interface "serial0/0" modem retry 3
set interface "serial0/0" modem interval 10
set interface "serial0/0" modem idle-time 10
set flow tcp-mss
unset flow tcp-syn-check
unset flow tcp-syn-bit-check
set flow reverse-route clear-text prefer
set flow reverse-route tunnel always
set pki authority default scep mode "auto"
set pki x509 default cert-path partial
set crypto-policy
exit
set ike respond-bad-spi 1
set ike ikev2 ike-sa-soft-lifetime 60
unset ike ikeid-enumeration
unset ike dos-protection
unset ipsec access-session enable
set ipsec access-session maximum 5000
set ipsec access-session upper-threshold 0
set ipsec access-session lower-threshold 0
set ipsec access-session dead-p2-sa-timeout 0
unset ipsec access-session log-error
unset ipsec access-session info-exch-connected
unset ipsec access-session use-error-log
set vrouter "untrust-vr"
exit
set vrouter "trust-vr"
exit
set url protocol websense
exit
set policy id 1 from "Trust" to "Untrust"  "Any" "Any" "ANY" permit 
set policy id 1
exit
set policy id 2 from "Untrust" to "Trust"  "Any" "Any" "ANY" permit 
set policy id 2
exit
set policy id 3 from "Trust" to "Trust"  "Any" "Any" "ANY" permit 
set policy id 3
exit
set nsmgmt bulkcli reboot-timeout 60
set ssh version v2
set config lock timeout 5
unset license-key auto-update
set telnet client enable
set snmp port listen 161
set snmp port trap 162
set vrouter "untrust-vr"
exit
set vrouter "trust-vr"
unset add-default-route
exit
set vrouter "untrust-vr"
exit
set vrouter "trust-vr"
exit
 }

juniper ssg5

por Paolo Tiu 15.02.2011 / 13:30

1 resposta

Tags juniper ssg5

Apache mod_perl vs mod_cgi: Como decido qual usar? Linux crash do kernel mutex_lock_slowpath “bloqueado por mais de 120 segundos”. O que fazer?

score 3 · Accepted Answer

Esta primeira coisa é mais uma sugestão do que uma correção - não coloque sua interface no modo NAT. Vá para a interface e coloque-a no modo de rota. Então vá para o Trust - > Na página de política de desconfiança, selecione sua política any / any / any e clique em Advanced, e coloque a regra no modo Nat de origem. Quando você clicar em aplicar e salvar, o ícone da regra ficará azul. (Por que isso? Bem, isso deixa claro na página de política que o NAT está acontecendo. Ele também lhe dá a flexibilidade de fazer o não NAT através do firewall, caso você deseje.)

Segundo. Seu endereço "não confiável" é 192.168.200.x / 24 - que parece um IP reservado. Você pode fazer ping no gateway desconfiado do firewall 192.168.200.1? Tem certeza de que / 24 é o tamanho correto da máscara? Você pode definir um sistema na rede "não confiável" com esses parâmetros e obter conectividade com a Internet? Você consegue descobrir qual é o IP do próximo salto após o gateway padrão e chegar a esse ponto?

Terceiro. Você não parece ter DNS definido como uma opção DHCP, portanto, seus clientes DHCP não recebem um servidor DNS. Isso é intencional?

Quarto. Você não precisa da política 2, a menos que os IPs do lado "não confiável" iniciem conexões com o lado da Confiança. Com a política 1, o tráfego que flui de volta para o lado da confiança está implícito como associado.

Quinto. Você não deve precisar do Trust - > Regra de confiança, a menos que você tenha várias zonas de segurança marcadas como Confiança (o que você não faz).

sexto. Você parece estar fazendo todo o seu gerenciamento através da interface não confiável. Isso pode ser o que você quer, mas olha para trás para mim, permitindo o acesso à rede não confiável para o seu gerenciamento.