So-net無料ブログ作成
スポンサードリンク
前の5件 | -

SRX300ポリシー設定(DestinationNATの場合) [Network]

インターフェースとゾーンの設定した後にポリシー設定。
DestinationNATを利用する設定メモ。DestinationNATを利用する場合,untrust側にきた通信がtrust側のどの端末と通信させるかの設定が必要。
インターネットへ公開するサーバ用の設定などに使用することが多い。

設定例)
untrust側からの要求アドレス100.100.100.100 → SRX300(NAT変換:192.168.100.100(trust側IPアドレス)) → trust側サーバー(192.168.100.100)

・untrustからtrustへの通信(DestinationNAT)
trust側へNAT通信するuntrust側からの要求アドレスのtrust側IPアドレスの割り当て
 アドレスプール名:pool-global1
 trust側IPアドレス:192.168.100.100
 アドレスプール名:pool-global11
set security nat destination pool pool-global1 address 192.168.100.100/32
・ルールセット名(untrustpc)の動作設定
 ルールセット名:untrustpc
 untrust側からtrustへの通信で,destinationNATを使用。
set security nat destination rule-set untrustpc from zone untrust
set security nat destination rule-set untrustpc to zone trust

・untrust側要求IPアドレスのルール設定
 ルールuntrustpcで,untrust側へ100.100.100.1への要求通信がきた場合,アドレスプールpool-global1を適用する。
set security nat destination rule-set untrustpc rule global1 match destination-address 100.100.100.1/32
set security nat destination rule-set untrustpc rule global1 then destination-nat pool pool-global1

・アドレス設定(Addressbook登録)
 アドレスブック名global1のIPアドレスは192.168.100.100/32
set security zones security-zone trust address-book address global1 192.168.100.100/32

・ポリシー設定(100.100.100.1への接続要求あり,25/tcp(smtp)だけ許可)
 接続元は全て
set security policies from-zone untrust to-zone trust policy po-global1 match source-address any
 ポリシー名po-local1で,destのアドレスはアドレスブックglobal1へ
set security policies from-zone untrust to-zone trust policy po-global1 match destination-address global1
 プロトコルはsmtp
set security policies from-zone untrust to-zone untrust policy po-global1 match application junos-smtp
 上記条件は許可する
set security policies from-zone trust to-zone untrust policy po-global1 then permit
※以下は必要に応じて(ログとカウント設定)
 セッションが閉じたタイミングでログを取得
set security policies from-zone untrust to-zone trust policy po-global1 then log session-close
 ポリシーカウント取得
set security policies from-zone untrust to-zone trust policy po-global1 then count

ポリシーが設定されていない通信は全て拒否されるので,別途拒否設定は不要だが,
ログとかが取れないので,有ったほうが良いかと。
 ポリシー名untrustDenyAllを設定。送信元アドレス全て
set security policies from-zone untrust to-zone trust policy untrustDenyAll match source-address any
 送信先アドレス全て
set security policies from-zone untrust to-zone trust policy untrustDenyAll match destination-address any
 プロトコル全て
set security policies from-zone untrust to-zone trust policy untrustDenyAll match application any
 上記条件は拒否する
set security policies from-zone untrust to-zone trust policy untrustDenyAll then deny
※以下はログを取得する場合
 セッション開始時にログ取得
set security policies from-zone untrust to-zone trust policy untrustDenyAll then log session-init

全拒否のポリシーは該当ゾーン(from-zone untrust to-zone trust)の一番下へ移動する。
 ポリシーpo-global1の後ろ(下)にuntrustDenyAllを移動。前(上)に移動する場合は,afterをbeforeにする。
insert security policies from-zone untrust to-zone trust policy po-global1 after untrustDenyAll

ルール名とかプール名はどちら側からの通信か分かるようにした方が整理しやすい。
DestinationNATの場合は
ルール名:Dest-xxx
プール名:DestPool-xxx
など

SRX300ポリシー設定(SourceNATの場合) [Network]

ポリシー設定はインターフェースとゾーンの設定した後に実施する。
SourceNATを利用する設定のメモだが、NATを使用しない場合はNAT設定を外せばよい。
SourceNATを利用する場合,untrust側へ通信するtrust側の端末IPアドレスをどのuntrust側IPアドレスへ割り当てるかの設定が必要。
設定例)
trust側端末192.168.100.2 → SRX300(NAT変換:100.100.100.100(untrust側IPアドレス)) → utrust側サーバー等

・trustからuntrustへの通信(SourceNAT)
untrust側へNAT通信するtrust側端末のutrust側IPアドレスの割り当て
 アドレスプール名:pool-local1
 untrust側IPアドレス:100.100.100.100(ge-0/0/0に設定しているアドレス)
 アドレスプール名:pool-local1
set security nat source pool pool-local1 address 100.100.100.100/32
※untrust側I/FのIPアドレスを利用する場合(グローバルアドレスが1つしか無いときなど)。

アドレスプール名:pool-local1,untrust側IPアドレス:100.100.100.101(他で使用していないアドレス)
set security nat source pool pool-local1 address 100.100.100.101/32
※untrust側I/FのIPアドレスを利用しない場合(グローバルアドレスが複数有る場合など)

ルールセット名(trustpc)の動作設定
 ルールセット名:trustpc
 trustからutrustへの通信で,SourceNATを使用。
set security nat source rule-set trustpc from zone trust
set security nat source rule-set trustpc to zone untrust

trust側IPアドレスのルール設定
 ルールtrustpcで,192.168.100.2から通信がきた場合,アドレスプールpool-local1を適用する。
set security nat source rule-set trustpc rule local1 match source-address 192.168.100.2/32
set security nat source rule-set trustpc rule local1 then source-nat pool pool-local1

アドレス設定(Addressbook登録)
 アドレスブック名local1のIPアドレスは192.168.100.2/32
set security zones security-zone trust address-book address local1 192.168.100.2/32
IPアドレスをホスト名で設定することは可能だが,名前解決が出来ないと設定が出来ない。
キッティングなどで,インターネット接続やDNSサーバへの接続が無いときはホスト名で設定が出来ない。

ポリシー設定(utrust側全て,80/tcp(Web)だけ許可)
 ポリシー名po-local1で,ソースのアドレスはアドレスブックlocal1から
set security policies from-zone trust to-zone untrust policy po-local1 match source-address local1
 接続先は全て
set security policies from-zone trust to-zone untrust policy po-local1 match destination-address any
 プロトコルはhttp
set security policies from-zone trust to-zone untrust policy po-local1 match application junos-http
 上記条件は許可する
set security policies from-zone trust to-zone untrust policy po-local1 then permit
※以下は必要に応じて(ログとカウント設定)
 セッションが閉じたタイミングでログを取得
set security policies from-zone trust to-zone untrust policy po-local1 then log session-close
 ポリシーカウント取得
set security policies from-zone trust to-zone untrust policy po-local1 then count

ポリシーが設定されていない通信は全て拒否されるので,別途拒否設定は不要だが,
ログとかが取れないので,有ったほうが良いかと。
 ポリシー名trusDenyAllを設定。送信元アドレス全て
set security policies from-zone trust to-zone untrust policy trusDenyAll match source-address any
 送信先アドレス全て
set security policies from-zone trust to-zone untrust policy trusDenyAll match destination-address any
 プロトコル全て
set security policies from-zone trust to-zone untrust policy trusDenyAll match application any
 上記条件は拒否する
set security policies from-zone trust to-zone untrust policy trusDenyAll then deny
※以下はログを取得する場合
 セッション開始時にログ取得
set security policies from-zone trust to-zone untrust policy trusDenyAll then log session-init

全拒否のポリシーは該当ゾーン(from-zone trust to-zone untrust)の一番下へ移動する。
 ポリシーpo-local1の後ろ(下)にtrusDenyAllを移動。前(上)に移動する場合は,afterをbeforeにする。
insert security policies from-zone trust to-zone untrust policy po-local1 after trusDenyAll

SourceNAT設定無しに許可ポリシー設定をすると,trust側IPアドレスでuntrust側サーバへ接続するようになる。
untrust側がインターネットの場合は基本的に通信が出来ない。

trust側端末192.168.100.2 → SRX300(NAT変換しない:192.168.100.2(untrust側IPアドレス)) → utrust側サーバー等

その他必要に応じて設定を追加する。

SRX300のインターフェース設定メモ [Network]

SRX300のインターフェース設定をした時のメモ。
SRX300はすぐに使用できるインターフェースが6ポート(0/0から0/5)有るが,
インターネット接続する場合は,基本的に0/0がuntrustゾーン,それ以外はtrustゾーンの
設定になるみたい。あとで変更は可能ですが。
工場出荷時のデフォルト設定では,0/0はdhcpクライアントで,0/1から0/5はdhcpサーバとして
動作しているようです。
ただ、何かしら設定をすると変更されるみたいです。

各インターフェースのゾーン設定は,
0/0がuntrustで,0/1から0/5がtrustになっているが,
0/1と0/5間のインターフェースは同じtrustゾーンでも通信が出来ない。
この間で通信するにはL2Switching機能を有効にし,設定がいるみたい。

物理インターフェースの設定(必要な場合)は
root@SRX300# set interfaces ge-0/0/0 speed 100m ← 100M固定(デフォルトはauto)
root@SRX300# set interfaces ge-0/0/0 link-mode full-duplex ← リンクモードフル固定(デフォルトはauto)
root@SRX300# set interfaces ge-0/0/0 gigether-options no-auto-negotiation ← オートネゴシエーション無効(デフォルトはauto)

インターフェースへIPアドレスを設定(IPは仮のIPアドレスです)
・untrust側
root@SRX300# set interfaces ge-0/0/0 unit 0 family inet address 100.100.100.100/24
・trust側
root@SRX300# set interfaces ge-0/0/1 unit 0 family inet address 192.168.100.1/24
・管理ネットワーク側(使用する場合)
root@SRX300# set interfaces ge-0/0/5 unit 0 family inet address 192.168.254.1/24

インターフェースの状態を確認
root@SRX300> show interfaces terse

ゾーン設定
untrustゾーン作成
root@SRX300# set security zones security-zone untrust
trustゾーン作成
root@SRX300# set security zones security-zone trust
管理セグメントゾーン作成(使用する場合)
root@SRX300# set security zones functional-zone management

各ゾーンにインターフェースを割り当てる
untrustゾーンにge-0/0/0を割り当て
root@SRX300# set security zones security-zone untrust interfaces ge-0/0/0
trustゾーンにge-0/0/1を割り当て
root@SRX300# set security zones security-zone untrust interfaces ge-0/0/1
管理セグメントゾーンにge-0/0/5を割り当て
root@SRX300# set security zones functional-zone management interfaces ge-0/0/5

ゾーンの確認
root@SRX300> show security zones

複数の物理インターフェースを1つのゾーンに割り当てし,インターフェース間で通信をする場合。
利用するインターフェースにIPアドレスが設定されている場合は削除する。
L2機能を有効にする
root@SRX300# set protocols l2-learning global-mode switching

VLANを割り当てる
root@SRX300# set vlans VLAN100 vlan-id 100
root@SRX300# set vlans VLAN100 l3-interface irb.100

irbにアドレスを設定
root@SRX300# set interfaces irb unit 100 family inet address 192.168.100.1/24

利用するインターフェースのモードをスイッチングモードへ変更
root@SRX300# set interfaces ge-0/0/1 unit 0 family ethernet-switching
root@SRX300# set interfaces ge-0/0/2 unit 0 family ethernet-switching
利用するインターフェースにVLANを適用
root@SRX300# set interfaces ge-0/0/1 unit 0 family ethernet-switching interfacemode access
root@SRX300# set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members 100
root@SRX300# set interfaces ge-0/0/2 unit 0 family ethernet-switching interfacemode access
root@SRX300# set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members 100

irbにゾーンを割り当て
root@SRX300# set security zones security-zone trust interfaces irb.100

本体を再起動する(再起動しないと有効にならない)
root@SRX300> request system reboot

あと同一ゾーン間(trust to trust)のポリシー設定も必要。

SRX300その他設定など [Network]

基本的な本体設定以外で,設定しておいたほうがよさそうな項目のメモ。

タイムゾーン設定
set system time-zone Asia/Tokyo

DNSサーバ設定
set system name-server IPアドレス

SNMP設定
 SNMPで使用するインターフェース
set snmp interface ge-0/0/1.0
 コミュニティ設定
 コミュニティ名:public,許可はリードオンリー
 接続可能なIP:192.168.100.201,192.168.100.202
set snmp community public authorization read-only
set snmp community public clients 192.168.100.201/32
set snmp community public clients 192.168.100.202/32

管理サービス許可設定
set system services ssh
※SRXへssh接続

Web管理許可設定(基本的に管理ネットワークインターフェースに設定。無ければtrust側)
set system services web-management http interface ge-0/0/5.0
set system services web-management https system-generated-certificate
set system services web-management https interface ge-0/0/5.0
set system services web-management session idle-timeout 60

syslog設定
 シスログファイルサイズ10M
set system syslog archive size 10m
 ローテーション数3
set system syslog archive files 3
 ユーザーへメッセージ送信(全てのユーザにemergency以上のログ送信)
set system syslog user * any emergency
 転送先syslogサーバ設定(ファシリティ・Severityのログ全て)
set system syslog host 192.168.100.110 any any
 転送先syslogサーバ設定(ファシリティ設定local1)
set system syslog host 192.168.100.110 facility-override local1
 ファシリティ全て,Severityはcritical以上をmessagesログファイルへ
set system syslog file messages any critical
 認証はinfo以上をmessagesログファイルへ
set system syslog file messages authorization info
 CLIで入力され,エラーとなったものをmessagesログファイルへ
set system syslog file interactive-commands interactive-commands error
 RT_FLOW_SESSION_DENY記述があるログ全てをdenylogファイルへ
set system syslog file denylog any any
set system syslog file denylog match RT_FLOW_SESSION_DENY
 RT_FLOW_SESSION記述があるログ全てをsessionlogファイルへ
set system syslog file sessionlog any any
set system syslog file sessionlog match RT_FLOW_SESSION
 syslogのソースアドレスは192.168.100.1を指定
set system syslog source-address 192.168.100.1

NTPサーバ設定(複数設定可能)
set system ntp server 133.133.133.133
set system ntp server 133.133.133.134
ブート時に利用するNTPサーバ指定
set system ntp boot-server 133.133.133.133

インターフェースに対しての許可プロトコル(サービス・アプリケーション)
 trust側インターフェースge-0/0/1に対し,pingとsshを許可
set security zones security-zone trust interfaces ge-0/0/1.0 host-inbound-traffic system-services ping
set security zones security-zone trust interfaces ge-0/0/1.0 host-inbound-traffic system-services ssh
※上記だけだと,tracerouteは許可されない。
 Web管理画面を利用する場合
set security zones security-zone trust interfaces ge-0/0/1.0 host-inbound-traffic system-services http
set security zones security-zone trust interfaces ge-0/0/1.0 host-inbound-traffic system-services https

他にも有るかも。

SRX JUNOS SRX(SRX300)初期設定メモ [Network]

JuniperSRX300初期設定した時のメモ。
PCとSRX300をコンソール接続(Ciscoのコンソールケーブル等)し、正面の電源ボタンを押しSRX300を起動。
PCはTeraTermなどのターミナルソフトを起動し,コンソールケーブルで使用しているCOM番号を選択し接続する。
LAN接続でも設定は可能だが、最初はコンソール接続の方が良さそう。
SRXは起動までに時間が掛かるので,しばらく待つ。
SRX300が起動したら,下記のプロンプト表示がされる。
root%

この状態は殆ど何も出来ないので,CLIを起動する。
root%cli
root@>

設定モードに移行
root@> configure
[edit]
root@#

管理者ユーザrootのパスワードの変更
root@# set system root-authentication plain-text-password
New password:password
Retype new password:password

この場合だと、パスワードは平文なので暗号化する場合は、
root@# set system root-authentication encrypted-password
とすると、show configureで表示してもパスワードはわからない状態となる。

rootユーザをそのまま使い続けるとよろしくないので、その他管理者(root以外)ユーザ作成する。
root@# set system login user username class super-user authentication encrypted-password
New password:password
Retype new password:password

ホスト名の設定
root@# set system host-name SRX300
root@SRX300#

設定の有効化
root@SRX300# commit

この後は、インターフェース、zone、ポリシー設定などが必要。
設定をやり直ししたい場合は、下記を参照する。
http://server-network.blog.so-net.ne.jp/00047
前の5件 | -
スポンサードリンク
シャンパン酵母エキス