猫に興味がある人は誰でも聞いてください。
新しいジュニパーSRX240Bは私の手に落ち、以下のすべてが適用されます。 そして以来 JunOSは、シリーズ全体(少なくとも)で単一のOSとして位置付けられ、その後、独自の結論を導き出します。 また、JunOS 12.1X46-D20.5のバージョン(投稿の公開時の最新版)も使用しています。
cartman@gw-jsrx240# run show version Hostname: gw-jsrx240 Model: srx240b JUNOS Software Release [12.1X46-D20.5]
まず、解決するタスクの小さな円を提示します。
- 送信元NAT
- DHCPサーバー
- DNSサーバー
- SSH強化
- IDP、セキュリティ機能
行こう...
送信元NAT
ソースNATを構成するには、次のコマンドを実行するだけです。
cartman@gw-jsrx240# show security nat | display set set security nat source rule-set trust-to-untrust from zone trust set security nat source rule-set trust-to-untrust to zone untrust set security nat source rule-set trust-to-untrust rule source-nat-rule match source-address 0.0.0.0/0 set security nat source rule-set trust-to-untrust rule source-nat-rule then source-nat interface
または、構成の形式で:
cartman@gw-jsrx240# show security nat source { rule-set trust-to-untrust { from zone trust; to zone untrust; rule source-nat-rule { match { source-address 0.0.0.0/0; } then { source-nat { interface; } } } } }
この構成では、ルーターの内部インターフェイスで構成されるすべてのネットワークがNATします。 一部のみをNATする必要がある場合は、代わりに:
set security nat source rule-set trust-to-untrust rule source-nat-rule match source-address 0.0.0.0/0
書き込む必要があります(ネットワーク172.16.1.0/27の例を示します)。
set security nat source rule-set trust-to-untrust rule source-nat-rule match source-address 172.16.1.0/27
DHCPサーバー
次に、SRXをDHCPサーバーとして構成します。 インターフェイスはすでに構成されていると想定されており、 vlan.0インターフェイスに対してのみDHCPサーバーを構成する必要があります。
cartman@gw-jsrx240# show system services dhcp | display set set system services dhcp maximum-lease-time 21600 set system services dhcp default-lease-time 21600 set system services dhcp pool 172.16.1.0/27 address-range low 172.16.1.2 set system services dhcp pool 172.16.1.0/27 address-range high 172.16.1.30 set system services dhcp pool 172.16.1.0/27 router 172.16.1.1 set system services dhcp propagate-settings vlan.0
または、構成の形式で:
cartman@gw-jsrx240# show system services dhcp maximum-lease-time 21600; default-lease-time 21600; pool 172.16.1.0/27 { address-range low 172.16.1.2 high 172.16.1.30; router { 172.16.1.1; } } propagate-settings vlan.0;
この場合、リースの有効期間を6時間に設定します (6 * 60分* 60秒= 21600秒)。 デフォルトゲートウェイは172.16.1.1を実行します。 172.16.1.2からアドレスの配布を開始し、 172.16.1.30 (DHCPサーバーが機能する範囲)を終了します。
これらのオプションは、 vlan.0インターフェイスでのみ機能します。 必要に応じて、たとえばge-0 / 0/1など、インターフェイスの実際の名前に置き換えることができます。
DHCPサーバーの統計は、次のコマンドで表示できます。
cartman@gw-jsrx240# run show system services dhcp statistics Packets dropped: Total 0 Messages received: BOOTREQUEST 0 DHCPDECLINE 0 DHCPDISCOVER 0 DHCPINFORM 0 DHCPRELEASE 0 DHCPREQUEST 0 Messages sent: BOOTREPLY 0 DHCPOFFER 0 DHCPACK 0 DHCPNAK 0
DNSサーバー
次に、DNSサーバーのセットアップに進みましょう。 Junos OSバージョン12.1x44D10以降では、 DNSプロキシがサポートされています。設定してみましょう。
cartman@gw-jsrx240# show system services dns | display set set system services dns forwarders 8.8.8.8 set system services dns forwarders 8.8.4.4 set system services dns dns-proxy interface vlan.0 set system services dns dns-proxy cache gw-jsrx240.HOME.local inet 172.16.1.1
または、構成の形式で:
cartman@gw-jsrx240# show system services dns forwarders { 8.8.8.8; 8.8.4.4; } dns-proxy { interface { vlan.0; } cache { gw-jsrx240.HOME.local inet 172.16.1.1; } }
ここでは、vlan.0インターフェイスでDNSサーバーの動作を構成しました。 gw-jsrx240.HOME.localのAレコードを作成しました(このようなレコードを自分で複数作成できます)。 他のすべてのDNSクエリに対してDNSフォワーダーを設定します。
DNSサーバーをすべての内部インターフェイスに対して有効にする必要がある場合、これは次のように実行できます(複数のVLANがある場合、それに応じて設定を行う必要があります)。
cartman@gw-jsrx240# show system name-server | display set set system name-server 172.16.1.1
または、構成の形式で:
cartman@gw-jsrx240# show system name-server 172.16.1.1;
DNSクエリの統計は、次のように表示できます。
cartman@gw-jsrx240# run show system services dns-proxy statistics DNS proxy statistics : Status : enabled IPV4 Queries received : 0 IPV6 Queries received : 0 Responses sent : 0 Queries forwarded : 0 Negative responses : 0 Positive responses : 0 Retry requests : 0 Pending requests : 0 Server failures : 0 Interfaces : vlan.0
次のようなDNSキャッシュのエントリを見てください(多くのエントリがあるため、デバイスキャッシュ自体は表示されません)。
cartman@gw-jsrx240# run show system services dns-proxy cache
次のようにDNSキャッシュをクリアします。
cartman@gw-jsrx240# run clear system services dns-proxy cache
SSH強化
次に、SSHサーバーをセキュリティで保護します(外部に見えても)(SSH_RSA_PUBLIC_KEYの代わりに、SSH RSA公開キーを挿入する必要があります)。
cartman@gw-jsrx240# show system services ssh | display set set system services ssh root-login deny set system services ssh protocol-version v2 set system services ssh connection-limit 5 set system services ssh rate-limit 5 cartman@gw-jsrx240# show system login | display set set system login retry-options tries-before-disconnect 5 set system login retry-options backoff-threshold 1 set system login retry-options backoff-factor 10 set system login retry-options minimum-time 30 set system login user cartman full-name "FIRST_NAME LAST_NAME" set system login user cartman uid 2000 set system login user cartman class super-user set system login user cartman authentication ssh-rsa "SSH_RSA_PUBLIC_KEY"
または、構成の形式で:
cartman@gw-jsrx240# show system services ssh root-login deny; protocol-version v2; connection-limit 5; rate-limit 5; cartman@gw-jsrx240# show system login retry-options { tries-before-disconnect 5; backoff-threshold 1; backoff-factor 10; minimum-time 30; } user cartman { full-name "FIRST_NAME LAST_NAME"; uid 2000; class super-user; authentication { ssh-rsa "SSH_RSA_PUBLIC_KEY"; ## SECRET-DATA } }
説明:
- root-login deny -rootがSSH経由で接続することを禁止します
- protocol-version v2 -SSHv2プロトコルバージョンのみを使用
- connection-limit 5-同時SSH接続の最大数
- レート制限 5-1分あたりのSSH接続の最大数
- retry-before-disconnect 5-パスワードの試行が許可される回数。その後、セッションは切断されます
- backoff-threshold 1-これにより、不正なパスワードの試行回数が遅延します
- backoff-factor 10 -backoff-thresholdに達すると、ユーザーは10秒間ブロックされます。
- 最小時間30-パスワードの入力が許可される秒数。その後、セッションは切断されます
私はrootにパスワードを使用してログインする機能を残しておきたいのですが、コンソール経由でのみ使用します。 上記の制限を持つキーのみを持つ他のユーザー。
IDP、セキュリティ機能
cartman@gw-jsrx240# show security screen | display set set security screen ids-option untrust-screen icmp ping-death set security screen ids-option untrust-screen ip source-route-option set security screen ids-option untrust-screen ip tear-drop set security screen ids-option untrust-screen tcp syn-flood alarm-threshold 1024 set security screen ids-option untrust-screen tcp syn-flood attack-threshold 200 set security screen ids-option untrust-screen tcp syn-flood source-threshold 1024 set security screen ids-option untrust-screen tcp syn-flood destination-threshold 2048 set security screen ids-option untrust-screen tcp syn-flood timeout 20 set security screen ids-option untrust-screen tcp land
または、構成の形式で:
cartman@gw-jsrx240# show security screen ids-option untrust-screen { icmp { ping-death; } ip { source-route-option; tear-drop; } tcp { syn-flood { alarm-threshold 1024; attack-threshold 200; source-threshold 1024; destination-threshold 2048; timeout 20; } land; } }
最後に...
コミットすることを忘れないでください。そうしないと、変更は有効になりません。
cartman@gw-jsrx240# commit check configuration check succeeds cartman@gw-jsrx240# commit commit complete
合計
最終的な構成は以下で表示できます。 ルーターには、非常に適切なお金で必要な機能がすべて備わっています。
cartman @ gw-jsrx240#show
cartman @ gw-jsrx240#show
##最終変更日:2014-07-12 20:15:48 MSK
バージョン12.1X46-D20.5;
システム{
ホスト名gw-jsrx240;
ドメイン名HOME.local;
ドメイン検索HOME.local;
タイムゾーンヨーロッパ/モスクワ;
認証順序パスワード。
ルート認証{
暗号化パスワード「$ 1 $ ENCRYPTED_PASSWORD」; ##シークレットデータ
}
ネームサーバー{
172.16.1.1;
}
名前解決{
入力時に解決しない;
}
ログイン{
retry-options {
切断前の試行5;
バックオフしきい値1。
backoff-factor 10;
最小時間30;
}
ユーザーcartman {
フルネーム「FIRST_NAME LAST_NAME」;
uid 2000;
クラスのスーパーユーザー。
認証{
ssh-rsa "SSH_RSA_PUBLIC_KEY"; ##シークレットデータ
}
}
}
サービス{
ssh {
ルートログイン拒否。
プロトコルバージョンv2。
接続制限5。
レート制限5。
}
dns {
フォワーダー{
8.8.8.8;
8.8.4.4;
}
dns-proxy {
インターフェース{
vlan.0;
}
キャッシュ{
gw-jsrx240.HOME.local inet 172.16.1.1;
}
}
}
ウェブ管理{
https {
ポート443;
システム生成証明書;
インターフェイスvlan.0;
}
セッション{
アイドルタイムアウト300。
セッション制限2。
}
}
dhcp {
最大リース時間21600;
デフォルトのリース時間21600;
プール172.16.1.0/27 {
アドレス範囲の下限172.16.1.2上限172.16.1.30;
ルーター{
172.16.1.1;
}
}
propagate-settings vlan.0;
}
}
syslog {
アーカイブサイズ100kファイル3;
ユーザー* {
緊急事態;
}
ファイルメッセージ{
重大な;
認証情報;
}
ファイルインタラクティブコマンド{
インタラクティブコマンドエラー。
}
}
max-configurations-on-flash 5;
max-configuration-rollbacks 5;
ライセンス{
自動更新{
url ae1.juniper.net/junos/key_retrieval;
}
}
ntp {
server 0.pool.ntp.orgが好む;
サーバー1.pool.ntp.org;
サーバー2.pool.ntp.org;
サーバー3.pool.ntp.org;
}
}
インターフェース{
interface-range interfaces-trust {
メンバー範囲ge-0 / 0/1からge-0 / 0/15;
ユニット0 {
ファミリーイーサネットスイッチング{
vlan {
メンバーvlan-trust;
}
}
}
}
ge-0 / 0/0 {
ユニット0 {
ファミリーinet {
dhcp;
}
}
}
ge-0 / 0/1 {
ユニット0 {
ファミリーイーサネットスイッチング{
vlan {
メンバーvlan-trust;
}
}
}
}
ge-0 / 0/2 {
ユニット0 {
ファミリーイーサネットスイッチング{
vlan {
メンバーvlan-trust;
}
}
}
}
ge-0 / 0/3 {
ユニット0 {
ファミリーイーサネットスイッチング{
vlan {
メンバーvlan-trust;
}
}
}
}
ge-0 / 0/4 {
ユニット0 {
ファミリーイーサネットスイッチング{
vlan {
メンバーvlan-trust;
}
}
}
}
ge-0 / 0/5 {
ユニット0 {
ファミリーイーサネットスイッチング{
vlan {
メンバーvlan-trust;
}
}
}
}
ge-0 / 0/6 {
ユニット0 {
ファミリーイーサネットスイッチング{
vlan {
メンバーvlan-trust;
}
}
}
}
ge-0 / 0/7 {
ユニット0 {
ファミリーイーサネットスイッチング{
vlan {
メンバーvlan-trust;
}
}
}
}
ge-0 / 0/8 {
ユニット0 {
ファミリーイーサネットスイッチング{
vlan {
メンバーvlan-trust;
}
}
}
}
ge-0 / 0/9 {
ユニット0 {
ファミリーイーサネットスイッチング{
vlan {
メンバーvlan-trust;
}
}
}
}
ge-0 / 0/10 {
ユニット0 {
ファミリーイーサネットスイッチング{
vlan {
メンバーvlan-trust;
}
}
}
}
ge-0 / 0/11 {
ユニット0 {
ファミリーイーサネットスイッチング{
vlan {
メンバーvlan-trust;
}
}
}
}
ge-0 / 0/12 {
ユニット0 {
ファミリーイーサネットスイッチング{
vlan {
メンバーvlan-trust;
}
}
}
}
ge-0 / 0/13 {
ユニット0 {
ファミリーイーサネットスイッチング{
vlan {
メンバーvlan-trust;
}
}
}
}
ge-0 / 0/14 {
ユニット0 {
ファミリーイーサネットスイッチング{
vlan {
メンバーvlan-trust;
}
}
}
}
ge-0 / 0/15 {
ユニット0 {
ファミリーイーサネットスイッチング{
vlan {
メンバーvlan-trust;
}
}
}
}
vlan {
ユニット0 {
ファミリーinet {
アドレス172.16.1.1/27;
}
}
}
}
プロトコル{
stp;
}
セキュリティ{
画面{
ids-option untrust-screen {
icmp {
ping-death;
}
ip {
ソースルートオプション。
涙滴;
}
tcp {
syn-flood {
アラームしきい値1024;
攻撃しきい値200;
ソースしきい値1024;
宛先しきい値2048;
タイムアウト20。
}
土地;
}
}
}
nat {
ソース{
ルールセットのtrust-to-untrust {
ゾーンの信頼から。
ゾーンの信頼を失います。
ルールsource-nat-rule {
マッチ{
送信元アドレス0.0.0.0/0;
}
その後{
source-nat {
インターフェース;
}
}
}
}
}
}
ポリシー{
from-zone trust to-zone untrust {
ポリシーtrust-to-untrust {
マッチ{
送信元アドレスany;
宛先アドレスany;
アプリケーションany;
}
その後{
許可;
}
}
}
from-zone trust to-zone trust {
ポリシーtrust-to-trust {
マッチ{
送信元アドレスany;
宛先アドレスany;
アプリケーションany;
}
その後{
許可;
}
}
}
}
ゾーン{
security-zone untrust {
画面untrust-screen;
インターフェース{
ge-0 / 0 / 0.0 {
host-inbound-traffic {
system-services {
ping
ssh;
dhcp;
}
}
}
}
}
セキュリティゾーンの信頼{
host-inbound-traffic {
system-services {
すべて;
}
プロトコル{
すべて;
}
}
インターフェース{
vlan.0;
}
}
}
}
vlans {
vlan-trust {
vlan-id 10;
l3-interface vlan.0;
}
}
##最終変更日:2014-07-12 20:15:48 MSK
バージョン12.1X46-D20.5;
システム{
ホスト名gw-jsrx240;
ドメイン名HOME.local;
ドメイン検索HOME.local;
タイムゾーンヨーロッパ/モスクワ;
認証順序パスワード。
ルート認証{
暗号化パスワード「$ 1 $ ENCRYPTED_PASSWORD」; ##シークレットデータ
}
ネームサーバー{
172.16.1.1;
}
名前解決{
入力時に解決しない;
}
ログイン{
retry-options {
切断前の試行5;
バックオフしきい値1。
backoff-factor 10;
最小時間30;
}
ユーザーcartman {
フルネーム「FIRST_NAME LAST_NAME」;
uid 2000;
クラスのスーパーユーザー。
認証{
ssh-rsa "SSH_RSA_PUBLIC_KEY"; ##シークレットデータ
}
}
}
サービス{
ssh {
ルートログイン拒否。
プロトコルバージョンv2。
接続制限5。
レート制限5。
}
dns {
フォワーダー{
8.8.8.8;
8.8.4.4;
}
dns-proxy {
インターフェース{
vlan.0;
}
キャッシュ{
gw-jsrx240.HOME.local inet 172.16.1.1;
}
}
}
ウェブ管理{
https {
ポート443;
システム生成証明書;
インターフェイスvlan.0;
}
セッション{
アイドルタイムアウト300。
セッション制限2。
}
}
dhcp {
最大リース時間21600;
デフォルトのリース時間21600;
プール172.16.1.0/27 {
アドレス範囲の下限172.16.1.2上限172.16.1.30;
ルーター{
172.16.1.1;
}
}
propagate-settings vlan.0;
}
}
syslog {
アーカイブサイズ100kファイル3;
ユーザー* {
緊急事態;
}
ファイルメッセージ{
重大な;
認証情報;
}
ファイルインタラクティブコマンド{
インタラクティブコマンドエラー。
}
}
max-configurations-on-flash 5;
max-configuration-rollbacks 5;
ライセンス{
自動更新{
url ae1.juniper.net/junos/key_retrieval;
}
}
ntp {
server 0.pool.ntp.orgが好む;
サーバー1.pool.ntp.org;
サーバー2.pool.ntp.org;
サーバー3.pool.ntp.org;
}
}
インターフェース{
interface-range interfaces-trust {
メンバー範囲ge-0 / 0/1からge-0 / 0/15;
ユニット0 {
ファミリーイーサネットスイッチング{
vlan {
メンバーvlan-trust;
}
}
}
}
ge-0 / 0/0 {
ユニット0 {
ファミリーinet {
dhcp;
}
}
}
ge-0 / 0/1 {
ユニット0 {
ファミリーイーサネットスイッチング{
vlan {
メンバーvlan-trust;
}
}
}
}
ge-0 / 0/2 {
ユニット0 {
ファミリーイーサネットスイッチング{
vlan {
メンバーvlan-trust;
}
}
}
}
ge-0 / 0/3 {
ユニット0 {
ファミリーイーサネットスイッチング{
vlan {
メンバーvlan-trust;
}
}
}
}
ge-0 / 0/4 {
ユニット0 {
ファミリーイーサネットスイッチング{
vlan {
メンバーvlan-trust;
}
}
}
}
ge-0 / 0/5 {
ユニット0 {
ファミリーイーサネットスイッチング{
vlan {
メンバーvlan-trust;
}
}
}
}
ge-0 / 0/6 {
ユニット0 {
ファミリーイーサネットスイッチング{
vlan {
メンバーvlan-trust;
}
}
}
}
ge-0 / 0/7 {
ユニット0 {
ファミリーイーサネットスイッチング{
vlan {
メンバーvlan-trust;
}
}
}
}
ge-0 / 0/8 {
ユニット0 {
ファミリーイーサネットスイッチング{
vlan {
メンバーvlan-trust;
}
}
}
}
ge-0 / 0/9 {
ユニット0 {
ファミリーイーサネットスイッチング{
vlan {
メンバーvlan-trust;
}
}
}
}
ge-0 / 0/10 {
ユニット0 {
ファミリーイーサネットスイッチング{
vlan {
メンバーvlan-trust;
}
}
}
}
ge-0 / 0/11 {
ユニット0 {
ファミリーイーサネットスイッチング{
vlan {
メンバーvlan-trust;
}
}
}
}
ge-0 / 0/12 {
ユニット0 {
ファミリーイーサネットスイッチング{
vlan {
メンバーvlan-trust;
}
}
}
}
ge-0 / 0/13 {
ユニット0 {
ファミリーイーサネットスイッチング{
vlan {
メンバーvlan-trust;
}
}
}
}
ge-0 / 0/14 {
ユニット0 {
ファミリーイーサネットスイッチング{
vlan {
メンバーvlan-trust;
}
}
}
}
ge-0 / 0/15 {
ユニット0 {
ファミリーイーサネットスイッチング{
vlan {
メンバーvlan-trust;
}
}
}
}
vlan {
ユニット0 {
ファミリーinet {
アドレス172.16.1.1/27;
}
}
}
}
プロトコル{
stp;
}
セキュリティ{
画面{
ids-option untrust-screen {
icmp {
ping-death;
}
ip {
ソースルートオプション。
涙滴;
}
tcp {
syn-flood {
アラームしきい値1024;
攻撃しきい値200;
ソースしきい値1024;
宛先しきい値2048;
タイムアウト20。
}
土地;
}
}
}
nat {
ソース{
ルールセットのtrust-to-untrust {
ゾーンの信頼から。
ゾーンの信頼を失います。
ルールsource-nat-rule {
マッチ{
送信元アドレス0.0.0.0/0;
}
その後{
source-nat {
インターフェース;
}
}
}
}
}
}
ポリシー{
from-zone trust to-zone untrust {
ポリシーtrust-to-untrust {
マッチ{
送信元アドレスany;
宛先アドレスany;
アプリケーションany;
}
その後{
許可;
}
}
}
from-zone trust to-zone trust {
ポリシーtrust-to-trust {
マッチ{
送信元アドレスany;
宛先アドレスany;
アプリケーションany;
}
その後{
許可;
}
}
}
}
ゾーン{
security-zone untrust {
画面untrust-screen;
インターフェース{
ge-0 / 0 / 0.0 {
host-inbound-traffic {
system-services {
ping
ssh;
dhcp;
}
}
}
}
}
セキュリティゾーンの信頼{
host-inbound-traffic {
system-services {
すべて;
}
プロトコル{
すべて;
}
}
インターフェース{
vlan.0;
}
}
}
}
vlans {
vlan-trust {
vlan-id 10;
l3-interface vlan.0;
}
}
招待が発行された場合、PPPoE、ダイナミックVPN、サイト間VPNなどの設定について説明します。