Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

Beispiel: Konfigurieren eines Filters zum Blockieren des Telnet- und SSH-Zugriffs

Anforderungen

Sie benötigen zwei Geräte, die mit einer freigegebenen Netzwerkverbindung ausgeführt werden Junos OS . Keine spezielle Konfiguration, die über die grundlegende Geräteinitialisierung hinausgeht (Verwaltungsschnittstelle, Fernzugriff, Benutzeranmeldekonten usw.) ist vor der Konfiguration dieses Beispiels erforderlich. Obwohl dies keine zwingende Anforderung ist, wird der Konsolenzugriff auf das R2-Gerät empfohlen.

HINWEIS:

Unser Content-Testing-Team hat dieses Beispiel validiert und aktualisiert.

Übersicht und Topologie

In diesem Beispiel erstellen Sie einen zustandslosen IPv4-Firewallfilter, der Telnet- oder SSH-Pakete, die an die lokale Routing-Engine gesendet werden, protokolliert und ablehnt, es sei denn, das Paket stammt aus dem Subnetz 192.168.1.0/30 . Der Filter wird auf die Loopback-Schnittstelle angewendet, um sicherzustellen, dass nur Datenverkehr betroffenist, der für das lokale Gerät bestimmt ist. Sie wenden den Filter in Eingaberichtung an. Ein Ausgabefilter wird nicht verwendet. Dadurch wird der gesamte lokal generierte Datenverkehr zugelassen.

  • Um Pakete abzugleichen, die von einem bestimmten Subnetz oder IP-Präfix stammen, verwenden Sie die IPv4-Übereinstimmungsbedingung, die source-address in Eingaberichtung angewendet wird.

  • Um Pakete abzugleichen, die für den Telnet-Port und die SSH-Ports bestimmt sind, verwenden Sie die protocol tcp Übereinstimmungsbedingung in Kombination mit a port telnet - und port ssh IPv4-Übereinstimmungsbedingungen, die in Eingaberichtung angewendet werden.

Beispieltopologie

Abbildung 1 zeigt die Testtopologie für dieses Beispiel. Der Firewall-Filter wird auf das R2-Gerätangewendet, wodurch es zum Prüfling wird. Die Geräte R1 und R2 teilen sich eine Verbindung, der das Subnetz 192.168.1.0/30zugewiesen ist. Beide Geräte verfügen über Loopback-Adressen, die dem Präfix 192.168.255.0/30 mithilfe einer /32-Subnetzmaske zugewiesen wurden. Statische Routen ermöglichen die Erreichbarkeit zwischen Loopbackadressen, da in diesem einfachen Beispiel kein internes Gatewayprotokoll konfiguriert ist.

Abbildung 1: BeispieltopologieBeispieltopologie

Konfiguration

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

VORSICHT:

Der Beispielfilter schränkt den Telnet- und SSH-Zugriff auf R2 ein, es sei denn, er stammt aus dem freigegebenen Subnetz bei R1. Wenn Sie SSH oder Telnet verwenden, um direktauf das R2-Gerät zuzugreifen, verlieren Sie die Verbindung, wenn der Filter angewendet wird. Es wird empfohlen , dass Sie bei der Konfiguration dieses Beispiels über Konsolenzugriff verfügen. Bei Bedarf können Sie das R1-Gerät als Jump-Host verwenden, um eine SSH-Sitzung zu R2 zu starten, nachdem der Filter angewendet wurde. Alternativ können Sie den Beispielfilter so ändern, dass auch das IP-Subnetz zugelassen wird, das dem Computer zugewiesen ist, den Sie für den Zugriff auf das R2-Gerät verwenden.

Führen Sie die folgenden Aufgaben aus, um dieses Beispiel zu konfigurieren:

CLI-Schnellkonfiguration

Schnellkonfiguration für das R1-Gerät

Um das R1-Gerätschnell zu konfigurieren, bearbeiten Sie die folgenden Befehle nach Bedarf und fügen Sie sie auf Hierarchieebene [edit] in die CLI ein. Stellen Sie sicher, dass Sie a commitim Konfigurationsmodus ausgeben, um die Änderungen zu aktivieren.

Schnellkonfiguration für das R2-Gerät

Um das R2-Gerätschnell zu konfigurieren, bearbeiten Sie die folgenden Befehle nach Bedarf und fügen Sie sie auf Hierarchieebene [edit] in die CLI ein. Stellen Sie sicher, dass Sie a commit im Konfigurationsmodus ausgeben, um die Änderungen zu aktivieren.

Tipp:

Erwägen Sie die Verwendung commit-confirmed , wenn Sie Änderungen vornehmen, die sich auf den Remotezugriff auf Ihr Gerät auswirken könnten. Aktivieren einer Junos OS-Konfiguration, die jedoch bestätigt werden muss

Konfigurieren des R1-Geräts

Schritt-für-Schritt-Anleitung

Führen Sie die folgenden Schritte aus, um das R1-Gerät zu konfigurieren:

  1. Konfigurieren Sie die Schnittstellen:

  2. Konfigurieren Sie den Hostnamen und die statische Route zur Loopback-Adresse des R2-Geräts. Außerdem konfigurieren Sie den Telnet- und SSH-Zugriff:

Überprüfen und bestätigen Sie die Konfiguration auf dem R1-Gerät.

Schritt-für-Schritt-Anleitung

Führen Sie die folgenden Schritte aus, um Ihre Kandidatenkonfiguration auf dem R1-Gerät zu überprüfen und zu bestätigen:

  1. Bestätigen Sie die Schnittstellenkonfiguration mit dem show interfaces Befehl configuration mode. Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

  2. Überprüfen Sie, ob die statische Route zum Erreichen der Loopback-Adresse des R2-Geräts verwendet wird und ob SSH- und Telnet-Zugriff aktiviert sind. Verwenden Sie die show routing-options Befehle und show system services Konfigurationsmodus. Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

  3. Wenn Sie mit der Konfiguration auf dem R1-Gerät zufrieden sind, bestätigen Sie Ihre Kandidatenkonfiguration.

Konfigurieren des R2-Geräts

Schritt-für-Schritt-Anleitung

Führen Sie die folgenden Schritte aus, um das R2-Gerät zu konfigurieren. Sie beginnen mit der Definition des zustandslosen Firewallfilters, der den Telnet- und SSH-Zugriff selektiv blockiert:

  1. Positionieren Sie sich in der Hierarchie edit firewall family inet filter local_acl :

  2. Definieren Sie den Filterbegriff terminal_access. Dieser Begriff erlaubt Telnet und SSH von den angegebenen Quellpräfixen:

  3. Definieren Sie den Filterbegriff terminal_access_denied. Dieser Begriff lehnt SSH und Telnet von allen anderen Quelladressen ab. Dieser Begriff ist so konfiguriert, dass Übereinstimmungen mit dem Begriff protokolliert werden und eine explizite ICMP-Antwort (Internet Control Message Protocol)-Ziel generiert wird, die nicht erreichbar ist, zurück an die Quelle des Pakets. Weitere Informationen zu den Filterprotokollierungsoptionen finden Sie unter Firewall-Filterprotokollierungsaktionen .

    Tipp:

    Sie können die Aktion verwenden, um die discard Generierung von ICMP-Fehlermeldungen zurück an die Quelle zu unterdrücken. Weitere Informationen finden Sie unter Aktionen zum Beenden von Firewall-Filtern .
  4. Wahlfrei.

    Definieren Sie den Filterbegriff tcp-estab. Dieser Begriff erlaubt den ausgehenden Zugriff auf das Internet, um Verbindungen zur Juniper Mist Cloud zu unterstützen (tcp-established ist eine Bitfeldübereinstimmungsbedingung, tcp-flags "(ack | rst)"die auf eine aufgebaute TCP-Sitzung, aber nicht auf das erste Paket einer TCP-Verbindung hinweist):

  5. Definieren Sie den Filterbegriff default-term. Diese Bedingung akzeptiert den gesamten anderen Datenverkehr. Denken Sie daran, dass Junos OS zustandslose Filter am Ende einen impliziten Verweigerungsbegriff haben. Dieses default-term Verhalten wird überschrieben, indem der Filter mit einer expliziten Annahmeaktion beendet wird. Das Beenden des Filters führt dazu, dass der gesamte andere Datenverkehr vom Filer akzeptiert wird.

    HINWEIS:

    In diesem Beispiel lassen wir den gesamten anderen Datenverkehr zu, aber für Ihr Netzwerk möchten Sie möglicherweise die Routing-Engine sichern. Weitere Informationen finden Sie unter Schützen der Routing-Engine .

  6. Konfigurieren Sie die Loopback-Schnittstelle, und wenden Sie den Filter in Eingaberichtung an:

  7. Konfigurieren Sie den Hostnamen, die ge-0/0/0-Schnittstelle, die statische Route zur Loopback-Adresse des R1-Geräts und aktivieren Sie den Fernzugriff über SSH und Telnet:

Überprüfen und bestätigen Sie die Konfiguration auf Gerät R2

Schritt-für-Schritt-Anleitung

Führen Sie die folgenden Schritte aus, um Ihre Kandidatenkonfiguration auf dem R2-Gerät zu überprüfen und zu bestätigen:

  1. Bestätigen Sie die Konfiguration des zustandslosen Firewallfilters mit dem show firewall Befehl configuration mode. Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

  2. Bestätigen Sie die Schnittstellenkonfiguration und filtern Sie die Anwendung mit dem show interfaces Befehl Konfigurationsmodus. Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

  3. Überprüfen Sie die statische Route, die zum Erreichen der Loopback-Adresse des R1-Gerätsverwendet wird, und stellen Sie sicher ,dass Telnet- und SSH-Zugriff aktiviert sind. Verwenden Sie die show routing-options Befehle und show system services Konfigurationsmodus. Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

  4. Wenn Sie mit der Konfiguration auf dem R2-Gerät zufrieden sind, bestätigen Sie Ihre Kandidatenkonfiguration.

    Tipp:

    Erwägen Sie die Verwendung commit-confirmed , wenn Sie Änderungen vornehmen, die sich auf den Remotezugriff auf Ihr Gerät auswirken könnten.

Überprüfen des zustandslosen Firewallfilters

Vergewissern Sie sich, dass der Firewall-Filter zur Beschränkung des Telnet- und SSH-Zugriffs ordnungsgemäß funktioniert.

Akzeptierte Pakete überprüfen

Zweck

Stellen Sie sicher, dass der Firewallfilter SSH und Telnet korrekt zulässt, wenn der Datenverkehr aus dem Subnetz 192.168.1.0/30 stammt.

Action!

  1. Löschen Sie das Firewall-Protokoll auf Ihrem Router oder Switch.

  2. Verwenden Sie von einem Host mit einer IP-Adresse innerhalb des Subnetzes 192.168.1.0/30 einen ssh 192.168.255.2 Befehl, um zu überprüfen, ob Sie sich über SSH von einer zulässigen Quelladresse aus beim Gerät anmelden können. Dieses Paket sollte akzeptiert werden, aber die Paket-Header-Informationen für dieses Paket sollten nicht im Protokollpuffer des Firewallfilters in der Paketweiterleitungs-Engine protokolliert werden. Sie werden aufgefordert, den SSH-Hostschlüssel zu speichern, wenn dies die erste SSH-Anmeldung zwischen user diesen Geräten ist.

    HINWEIS:

    Standardmäßig bezieht das R1-Gerät den SSH-Datenverkehr von der Ausgangsschnittstelle, die zum Erreichen des Ziels verwendet wird. Daher wird dieser Datenverkehr von der Adresse 192.168.1.1 bezogen, die der ge-0/0/0-Schnittstelle des R1-Geräts zugewiesen ist.

  3. Melden Sie sich am R2-Gerät von der CLI ab, um die SSH-Sitzung zu schließen.

  4. Verwenden Sie von einem Host mit einer IP-Adresse innerhalb des Subnetzes 192.168.1.0/30 den telnet 192.168.255.2 Befehl, um zu überprüfen, ob Sie sich über Telnet von einer zulässigen Quelladresse aus bei Ihrem Router oder Switch anmelden können. Dieses Paket sollte akzeptiert werden, aber die Paket-Header-Informationen für dieses Paket sollten nicht im Protokollpuffer des Firewallfilters in der Paketweiterleitungs-Engine protokolliert werden.

  5. Melden Sie sich von der CLI ab, um die Telnet-Sitzung mit dem R2-Gerät zu schließen.

  6. Verwenden Sie den show firewall log Befehl, um zu überprüfen, ob der Firewallprotokollpuffer in der Packet Forwarding Engine (PFE) des R2-Geräts keine Einträge mit einer Quelladresse im Subnetz 192.168.1.0/30 enthält.

Überprüfen von protokollierten und abgelehnten Paketen

Zweck

Stellen Sie sicher, dass der Firewallfilter SSH- und Telnet-Datenverkehr, der nicht aus dem Subnetz 192.168.1.0/30 stammt, korrekt ablehnt.

Action!

  1. Löschen Sie das Firewall-Protokoll auf Ihrem Router oder Switch.

  2. Generieren Sie SSH-Datenverkehr, der von der Loopback-Adresse des R1-Geräts stammt. Die Quelladresse dieses Datenverkehrs liegt außerhalb des zulässigen Subnetzes 192.168.1.0/30 . Verwenden Sie den ssh 192.168.255.2 source 192.168.255.1 Befehl, um sicherzustellen, dass Sie sich von dieser Quelladresse aus nicht über SSH beim Gerät anmelden können. Dieses Paket sollte zurückgewiesen werden, und die Paket-Header-Informationen sollten im Protokollpuffer des Firewallfilters protokolliert werden.

    Die Ausgabe zeigt , dass die SSH-Verbindung abgelehnt wird. Diese Ausgabe bestätigt , dass der Filter eine ICMP-Fehlermeldung generiert und dass SSH-Datenverkehr korrekt blockiert wird, wenn er von einer unzulässigen Quelladresse gesendet wird.

  3. Generieren Sie Telnet-Datenverkehr, der von der Loopback-Adresse des R1-Geräts stammt. Die Quelladresse dieses Datenverkehrs liegt außerhalb des zulässigen Subnetzes 192.168.1.0/30 . Verwenden Sie den telnet 192.168.255.2 source 192.168.255.1 Befehl, um sicherzustellen, dass Sie sich von dieser Quelladresse aus nicht über Telnet beim Gerät anmelden können. Dieses Paket sollte zurückgewiesen werden, und die Paket-Header-Informationen für dieses Paket sollten im Protokollpuffer des Firewallfilters in der PFE protokolliert werden.

    Die Ausgabe zeigt , dass die Telnet-Verbindung abgelehnt wurde. Diese Ausgabe bestätigt , dass der Filter eine ICMP-Fehlermeldung generiert und dass Telnet-Datenverkehr korrekt blockiert wird, wenn er von einer unzulässigen Quelladresse gesendet wird.

  4. Verwenden Sie den show firewall log Befehl, um zu überprüfen, ob der Firewall-Protokollpuffer auf dem R2-Gerät Einträge enthält, aus denen hervorgeht , dass Pakete mit der Quelladresse 192.168.255.1 zurückgewiesen wurden .

    Die Ausgabe bestätigt, dass der Datenverkehr von der Quelladresse 192.168.255.1 mit dem terminal_access_denied Begriff des Filters übereinstimmt. In der Action Spalte wird ein R angezeigt, um anzuzeigen , dass diese Pakete zurückgewiesen wurden. Die Schnittstelle, das Transportprotokoll sowie die Quell- und Zieladressen werden ebenfalls aufgeführt. Diese Ergebnisse bestätigen , dass der Firewallfilter für dieses Beispiel ordnungsgemäß funktioniert.