NESTA PÁGINA
TFTP ALG
O ALG (TFTP) processa pacotes TFTP que iniciam a solicitação na porta de destino UDP 69 e abre um portal para permitir o retorno de pacotes da direção reversa até a porta que envia a solicitação. O suporte a serviços de firewall e NAT stateful requer que você configure o TFTP ALG para a porta de destino UDP 69.
Entender a ALG do TFTP
- Visão geral
- Pacotes TFTP
- Sessão TFTP
- Entender a conversa sobre ALC TFTP
- Entender o suporte do IPv6 ao TFTP ALG
Visão geral
O TFTP (TFTP) é um protocolo simples usado para transferência de arquivos (RFC 1350). O TFTP é implementado em cima do UDP, com a porta de destino 69 como a porta conhecida. O TFTP aplicativo Gateway (ALG) processa pacotes TFTP que iniciam a solicitação e criam aberturas para permitir o retorno de pacotes na direção reversa.
No processamento do fluxo, existem duas sessões para uma conversa com TFTP, uma é a sessão de controle TFTP criada por um pacote de solicitação de leitura (RRQ) ou solicitação de gravação (WRQ); a outra é a sessão de dados TFTP criada por um pacote de DADOS (para RRQ) ou um pacote de reconhecimento (ACK) (para WRQ).
Em um firewall do Junos OS, a sessão de controle do TFTP é permitida por meio da política de aplicativos junos-tftp. A sessão de dados é permitida pelo buraco aberto TFTP ALG de qualquer porta do servidor até a porta TID (porta) do cliente quando o pacote da sessão de controle é recebido. Nenhuma NAT de tradução é necessária, porque a NAT de tradução já foi executada e as informações estão disponíveis na estrutura de dados da sessão.
Nos dispositivos SRX210, SRX240, SRX320, SRX340 ou SRX380, o TFTP de broadcast não é compatível quando o fluxo está ativado. (O suporte à plataforma depende da versão do Junos OS em sua instalação.)
Pacotes TFTP
Qualquer transferência começa com uma solicitação para ler ou escrever um arquivo. Um pacote de dados de menos de 512 bytes indica o fim de uma transferência.
O TFTP aceita cinco tipos de pacotes:
Solicitação de leitura (RRQ)
Solicitação de gravação (WRQ)
Dados (DADOS)
Reconhecimento (ACK)
Erro (ERRO)
Sessão TFTP
O TFTP ALG é baseado no UDP, que é um protocolo de transporte sem estado. Em um firewall, o TFTP ALG funciona como uma sessão de UDP com tempo de saída. Caso não haja atualização de pacote, a sessão será terminada após o tempo de saída. Embora o cliente e o servidor TFTP determinem o fim de uma conversa com TFTP, às vezes eles não sabem da sessão no Fireware. Portanto, o cliente e o servidor podem solicitar uma nova conversa sobre TFTP nesse cenário.
A sessão TFTP ALG pode continuar de qualquer das seguintes maneiras:
Quando a sessão de controle do TFTP chega ao fim, a sessão não é terminada se a sessão de dados ainda estiver viva.
Uma sessão do TFTP pode encerrar ou ser corrompida pelos comandos ou CLI, independentemente de a sessão de dados estar
clear security flow session all
clear specific session
em andamento ou não.Se uma nova solicitação de sessão de TFTP chegar e chegar à sessão existente, o TFTP ALG abrirá o buraco novamente para a nova solicitação.
Caso o buraco já exista, o TFTP ALG não abrirá o buraco novamente e não haverá entrega de pacotes.
O TFTP ALG não derrubará nenhum pacote.
Entender a conversa sobre ALC TFTP
Por padrão, os servidores TFTP escutam as solicitações dos clientes TFTP na porta 69. Um cliente TFTP escolhe sua porta de identificador de túnel de origem (TID) e envia sua solicitação inicial ao servidor. Em resposta, o servidor usa o TID selecionado como a porta de origem e envia uma resposta ao TID do cliente como a porta de destino. As duas portas TIDs são usadas para o resto da transferência de dados.
Read file conversation steps:
O Host A (cliente) envia um pacote RRQ para hospedar B (servidor) com o TID de A como origem e a porta 69 como destino.
O host B (servidor) envia um pacote de DADOS para hospedar A (cliente) com TID de B como origem e TID de A como destino.
Host A (cliente) envia um pacote ACK para hospedar B (servidor) com TID de A como origem e TID de B como destino.
A conversa de pacotes de DATA e ACK continua até que a transferência de dados de arquivo seja concluída.
Write file conversation steps:
Host A (cliente) envia um pacote WRQ para hospedar B (servidor) com TID de A como origem e porta 69 como destino.
O host B (servidor) envia um pacote ACK para hospedar A (cliente) com TID de B como origem e TID de A como destino.
Host A (cliente) envia um pacote de DADOS para host B (servidor) com TID de A como origem e TID de B como destino.
O host B (servidor) envia um pacote ACK para hospedar A (cliente) com TID de B como origem e TID de A como destino.
Entender o suporte do IPv6 ao TFTP ALG
O TFTP (TFTP) aplicativo Gateway (ALG) foi aprimorado para dar suporte a conversações IPv6 e IPv4 TFTP, que tem endereços IPv6 e IPv4 para endereço IP de origem e endereço IP de destino.
O TFTP ALG processa pacotes que iniciam a solicitação de roteamento e criam aberturas para permitir o retorno de pacotes da direção reversa até a porta que enviou a solicitação.
A sessão de dados é configurada pelo primeiro pacote do cliente até o servidor. O TFTP ALG monitora o primeiro pacote e abre um buraco de entrada de qualquer porta do servidor para o cliente. Esse processo ajuda os pacotes de retorno do servidor e os pacotes de dados posteriores a passar.
Exemplo: configurando o TFTP ALG
O TFTP ALG processa pacotes TFTP que iniciam a solicitação e abre um portal para permitir o retorno de pacotes da direção reversa até a porta que envia a solicitação.
Este exemplo mostra como configurar o TFTP ALG para passar pelo tráfego TFTP com um pool de NAT de origem em Juniper Networks dispositivos.
Requisitos
Configure o ARP de proxy para todos os endereços IP no pool de NAT origem.
Entender os conceitos básicos de TFTP ALG. Consulte Entender a ALG do TFTP.
Visão geral
Neste exemplo, o TFTP ALG está configurado para monitorar e permitir o tráfego TFTP, transferindo arquivos entre o cliente e o servidor localizados em lados opostos de um dispositivo Juniper Networks de segurança.
Configuração
Configurando um pool NAT de origem, conjunto de regras e uma política
Configuração rápida CLI
Para configurar rapidamente esta seção do exemplo, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar com a configuração da sua rede, copie e congreda os comandos na CLI no nível da hierarquia e, em seguida, entre no modo de [edit]
commit
configuração.
set security nat source pool pool1 address 10.10.10.1/32 to 10.10.10.10/32 set security zones security-zone green address-book address sa1 1.1.1.0/24 set security zones security-zone red address-book address da1 2.2.2.0/24 set security nat source rule-set rs1 from zone green set security nat source rule-set rs1 to zone red set security nat source rule-set rs1 rule r1 match source-address 1.1.1.0/24 set security nat source rule-set rs1 rule r1 match destination-address 2.2.2.0/24 set security nat source rule-set rs1 rule r1 then source-nat pool pool1
set security policy from-zone green to-zone red policy pol1 match destination-address da1 set security policy from-zone green to-zone red policy pol1 match source-address sa1 set security policy from-zone green to-zone red policy pol1 match application junos-tftp set security policy from-zone green to-zone red policy pol1 then permit
Caso você não tenha certeza do endereço IP do cliente e do servidor TFTP, você pode substituir "da1" e "sa1" por "qualquer".
Procedimento passo a passo
O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Como usar o Editor de CLI no modo de configuração no Guia do Usuário da CLI.
Para configurar um pool de NAT origem:
Crie um pool NAT origem.
[edit security] user@host# set nat source pool pool1 address 10.10.10.1/32 to 10.10.10.10/32
Configure as entradas do livro de endereços da zona de segurança.
[edit security zones security-zone] user@host# set green address-book address sa1 1.1.1.0/24 user@host# set red address-book address da1 2.2.2.0/24
Crie um NAT de origem.
[edit security nat source rule-set rs1] user@host# set from zone green user@host# set to zone red user@host# set rule r1 match source-address 1.1.1.0/24 user@host# set rule r1 match destination-address 2.2.2.0/24 user@host# set rule r1 then source-nat pool pool1
Configurar uma política
[edit security policies from-zone green to-zone red policy pol1] user@host# set match source-address sa1 user@host# set match destination-address da1 user@host# set match application junos-tftp user@host# set then permit
Resultados
A partir do modo de configuração, confirme sua configuração inserindo show security nat
os comandos e os show security policies
comandos. Se a saída não apresentar a configuração pretendido, repetir as instruções de configuração neste exemplo para corrigi-la.
[edit] user@host# show security nat source { pool pool1 { address { 10.10.10.1/32 to 10.10.10.10/32; } } rule-set rs1 { from zone green; to zone red; rule r1 { match { source-address 1.1.1.0/24; destination-address 2.2.2.0/24; } then { source-nat { pool { pool1; } } } } }
[edit] user@host# show security policies from-zone green to-zone red {policy pol1 { policy pol1 { match { source-address sa1; destination-address da1; application [junos-tftp]; } then { permit; } } } default-policy { permit-all; }
Caso você não configure o dispositivo, entre commit
no modo de configuração.
Verificação
Confirmar se a configuração está funcionando corretamente.
Verificar o pool NAT de origem e o conjunto de regras
Propósito
Verifique se o pool NAT de origem e o conjunto de regras usados para dar suporte ao TFTP ALG estão funcionando corretamente.
Ação
Do modo operacional, insira o show security nat static rule r1
comando.
Verificação do TFTP ALG
Propósito
Verificar se o TFTP ALG está ativado.
Ação
Do modo operacional, insira o show security alg status
comando.
user@host> show security alg status DNS : Enabled FTP : Enabled H323 : Enabled TFTP : Enabled
Significado
A saída mostra o status do TFTP ALG da seguinte forma:
Ativado — mostra que o TFTP ALG está ativado.
Inválido — mostra que a ALG do TFTP está desabilitada.