SUR CETTE PAGE
RSH ALG
Le Remote Shell (RSH) fournit un conduit pour exécuter des commandes sur un hôte distant. Contrairement à Telnet ou SSH, qui créent une session shell de terminal sur le système distant, RSH transmet les données de commande et d’authentification. Le protocole utilise le port TCP 514 pour transmettre les données d’authentification et la commande. Le serveur renvoie la sortie standard de la commande sur le port source du client. RSH nécessite qu’un ALG transmette un deuxième port client au serveur pour la transmission du flux stderr.
Comprendre l’ALG RSH
La passerelle de couche applicative (ALG) Remote Shell (RSH) traite les paquets RSH qui lancent des requêtes et ouvrent deux portes pour permettre aux paquets de renvoyer le paquet dans le sens inverse au client. Une porte est utilisée pour une session d’identification (ident) afin d’appliquer l’autorisation et l’autre porte est utilisée pour une session d’erreur standard (stderr) afin de transférer un message d’erreur.
L’ALG RSH ne fonctionne pas si la traduction d’adresse de port (PAT) est configurée. Le RSH exige que la plage de ports soit comprise entre 512 et 1024. Le module NAT source ne peut pas correspondre à cette plage de ports.
Voir aussi
Exemple : Configuration de l’ALG RSH
Cet exemple montre comment configurer l’ALG RSH en mode route ou NAT. Cette configuration autorise le trafic RSH à passer par un équipement et transfère les commandes et les résultats à distance entre un client et un serveur situés de part et d’autre d’un équipement Juniper Networks.
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Un pare-feu SRX Series
Deux PC (serveur et client)
Avant de commencer :
Comprendre les concepts qui se cachent derrière les ALG. Voir la présentation d’ALG
Comprendre les bases de l’ALG RSH. Voir la section Comprendre l’ALG RSH
Aperçu
Dans cet exemple, vous devez d’abord configurer les interfaces réseau sur l’appareil. Créez des zones de sécurité et attribuez-leur des interfaces, puis configurez une stratégie pour permettre au trafic RSH de passer par un pare-feu SRX Series.
Ensuite, vous créez un ensemble de règles NAT statiques rs1 avec une règle r1 qui correspond à l’adresse de destination 40.0.172.10/32, et vous créez un préfixe NAT statique avec l’adresse 40.0.172.45/32.
Ensuite, vous créez un pool NAT source src-p1 avec un ensemble de règles source src-rs1 pour traduire les paquets de l’interface fe-3/0/0.0 vers l’interface fe-3/0/1.0. Pour les paquets correspondants, l’adresse source est traduite en une adresse IP dans le pool src-p1.
Ensuite, vous créez un pool NAT de destination des-p1 avec un ensemble de règles de destination des-rs1 pour traduire les paquets de l’approbation de zone vers l’adresse de destination 40.0.172.10/32. Pour les paquets correspondants, l’adresse de destination est traduite en une adresse IP dans le pool des-p1. Enfin, vous activez les options de traçage RSH ALG.
Configuration
Pour configurer l’ALG RSH, effectuez les tâches suivantes :
- Configuration d’un mode de routage
- Configuration d’un jeu de règles NAT statique
- Configuration d’un pool NAT source et d’un ensemble de règles sans PAT
- Configuration d’un pool NAT de destination et d’un ensemble de règles
- Activation des options de traçage RSH ALG
Configuration d’un mode de routage
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set interfaces ge-0/0/0 unit 0 family inet address 10.208.172.58/21 set interfaces fe-3/0/0 unit 0 family inet address 30.3.3.149/8 set interfaces fe-3/0/1 unit 0 family inet address 40.4.4.149/8 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces fe-3/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces fe-3/0/1.0 set security policies from-zone trust to-zone untrust policy rsh match source-address any set security policies from-zone trust to-zone untrust policy rsh match destination-address any set security policies from-zone trust to-zone untrust policy rsh match application junos-rsh set security policies from-zone trust to-zone untrust policy rsh then permit
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur CLI.
Pour configurer le mode d’itinéraire, procédez comme suit :
Configurez les interfaces.
[edit interfaces] user@host#set ge-0/0/0 unit 0 family inet address 10.208.172.58/21 user@host#set fe-3/0/0 unit 0 family inet address 30.3.3.149/8 user@host#set fe-3/0/1 unit 0 family inet address 40.4.4.149/8
Configurez les zones et attribuez-leur des interfaces.
[edit security zones security-zone] user@host#set trust host-inbound-traffic system-services all user@host#set trust host-inbound-traffic protocols all user@host#set trust interfaces fe-3/0/0.0 user@host#set untrust host-inbound-traffic system-services all user@host#set untrust host-inbound-traffic protocols all user@host#set untrust interfaces fe-3/0/0.1
Configurez une stratégie RSH qui autorise le trafic RSH de la zone de confiance vers la zone de non-confiance.
[edit security policies from-zone trust to-zone untrust] user@host#set policy rsh match source-address any user@host#set policy rsh match destination-address any user@host#set policy rsh match application junos-rsh user@host#set policy rsh then permit
Résultats
À partir du mode de configuration, confirmez votre configuration en saisissant les show interfacescommandes , show security zoneset show security policies . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour corriger le problème.
Par souci de concision, cette show sortie inclut uniquement la configuration pertinente pour cet exemple. Toute autre configuration du système a été remplacée par des ellipses (...).
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.208.172.58/21;
}
}
}
fe-3/0/0 {
unit 0 {
family inet {
address 30.3.3.149/8;
}
}
}
fe-3/0/1 {
unit 0 {
family inet {
address 40.4.4.149/8;
}
}
}
[edit]
user@host# show security zones
..
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
fe-3/0/0.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
fe-3/0/1.0;
}
}
...
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy rsh {
match {
source-address any;
destination-address any;
application junos-rsh;
}
then {
permit;
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Configuration d’un jeu de règles NAT statique
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security nat static rule-set rs1 from zone trust set security nat static rule-set rs1 rule r1 match destination-address 40.0.172.10/32 set security nat static rule-set rs1 rule r1 then static-nat prefix 40.0.172.45/32
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur CLI.
Pour configurer un ensemble de règles NAT statique :
Créez un ensemble de règles NAT statiques.
[edit security nat static rule-set rs1] user@host#set from zone trust
Définissez la règle à faire correspondre à l’adresse de destination.
[edit security nat static rule-set rs1] user@host# set rule r1 match destination-address 40.0.172.10/32
Définissez le préfixe NAT statique de l’équipement.
[edit security nat static rule-set rs1] user@host# set rule r1 then static-nat prefix 40.0.172.45/32
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security nat commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security nat
static {
rule-set rs1 {
from zone trust;
rule r1 {
match {
destination-address 40.0.172.10/32;
}
then {
static-nat {
prefix {
40.0.172.45/32;
}
}
}
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Configuration d’un pool NAT source et d’un ensemble de règles sans PAT
Configuration rapide de l’interface de ligne de commande
L’ALG RSH ne prend pas en charge la configuration PAT. L’ALG RSH nécessite que la plage de ports stderr soit comprise entre 512 et 1024. Le module NAT source ne peut pas correspondre à cette plage de ports.
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security nat source pool src-p1 address 40.0.172.100/32 to 40.0.172.101/32 set security nat source pool src-p1 port no-translation set security nat source rule-set src-rs1 from interface fe-3/0/0.0 set security nat source rule-set src-rs1 to interface fe-3/0/1.0 set security nat source rule-set src-rs1 rule r1 match source-address 30.0.0.0/8 set security nat source rule-set src-rs1 rule r1 match destination-address 40.0.0.0/8 set security nat source rule-set src-rs1 rule r1 then source-nat pool src-p1
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur CLI.
Pour configurer un pool NAT source et un ensemble de règles :
Créez un pool NAT source.
[edit security nat source] user@host#set pool src-p1 address 40.0.172.100/32 to 40.0.172.101/32
Créez un pool NAT source sans traduction de port.
[edit security nat source ] set pool src-p1 port no-translation
Créez un ensemble de règles NAT source.
[edit security nat source] user@host# set rule-set src-rs1 from interface fe-3/0/0.0 user@host# set rule-set src-rs1 to interface fe-3/0/1.0
Configurez une règle qui fait correspondre les paquets et traduit l’adresse source en une adresse du pool source.
[edit security nat source] user@host# set rule-set src-rs1 rule r1 match source-address 30.0.0.0/8
Configurez une règle qui fait correspondre les paquets et traduit l’adresse de destination en une adresse dans le pool source.
[edit security nat source] user@host# set rule-set src-rs1 rule r1 match destination-address 40.0.0.0/8
Configurez un pool NAT source dans la règle.
[edit security nat source] user@host# set rule-set src-rs1 rule r1 then source-nat pool src-p1
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security nat commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security nat
source {
pool src-p1 {
address {
40.0.172.100/32 to 40.0.172.101/32;
}
port no-translation;
}
rule-set src-rs1 {
from interface fe-3/0/0.0;
to interface fe-3/0/1.0;
rule r1 {
match {
source-address 30.0.0.0/8;
destination-address 40.0.0.0/8;
}
then {
source-nat {
pool {
src-p1;
}
}
}
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Configuration d’un pool NAT de destination et d’un ensemble de règles
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security nat destination pool des-p1 address 40.0.172.45/32 set security nat destination rule-set des-rs1 from zone trust set security nat destination rule-set des-rs1 rule des-r1 match source-address 30.0.172.12/32 set security nat destination rule-set des-rs1 rule des-r1 match destination-address 40.0.172.10/32 set security nat destination rule-set des-rs1 rule des-r1 then destination-nat pool des-p1
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur CLI.
Pour configurer un pool NAT de destination et un ensemble de règles :
Créez un pool NAT de destination.
[edit security nat destination] user@host#set pool des-p1 address 40.0.172.45/32
Créez un ensemble de règles NAT de destination.
[edit security nat destination] user@host# set rule-set des-rs1 from zone trust
Configurez une règle qui fait correspondre les paquets et traduit l’adresse source en adresse dans le pool.
[edit security nat destination] user@host# set rule-set des-rs1 rule des-r1 match source-address 30.0.172.12/32
Configurez une règle qui fait correspondre les paquets et traduit l’adresse de destination en adresse dans le pool.
[edit security nat destination] user@host# set rule-set des-rs1 rule des-r1 match destination-address 40.0.172.10/32
Configurez un pool NAT source dans la règle.
[edit security nat destination] user@host# set rule-set des-rs1 rule des-r1 then destination-nat pool des-p1
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security nat commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security nat
destination {
pool des-p1 {
address {
40.0.172.45/32;
}
}
rule-set des-rs1 {
from zone trust;
rule des-r1 {
match {
source-address 30.0.172.12/32;
destination-address 40.0.172.10/32;
}
then {
destination-nat {
pool {
des--p1;
}
}
}
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Activation des options de traçage RSH ALG
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security alg rsh traceoptions flag all set security alg traceoptions file trace set security alg traceoptions file size 1g set security alg traceoptions level verbose
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur CLI.
Pour activer les options de traçage RSH ALG :
Activez les options de traçage RSH ALG.
[edit security alg] user@host#set sql traceoptions flag all
Configurez un nom de fichier pour recevoir la sortie de l’opération de suivi.
[edit security alg] user@host#set traceoptions file trace
Spécifiez la taille maximale du fichier de trace.
[edit security alg] user@host#set traceoptions file size 1g
Spécifiez le niveau de sortie de suivi.
[edit security alg] user@host#set traceoptions level verbose
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security alg commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security alg
traceoptions {
file trace size 1g;
level verbose;
}
rsh traceoptions flag all;
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification de la session de contrôle RSH ALG
- Vérification de l’ALG RSH
- Vérification du groupe RSH ALG Resource Manager
- Vérification des informations sur les ressources RSH ALG
Vérification de la session de contrôle RSH ALG
But
Vérifiez que la commande RSH est exécutée et que toutes les sessions de contrôle et de données RSH sont créées.
Action
À partir du mode opérationnel, entrez la show security flow session commande.
user@host>show security flow session Session ID: 2924, Policy name: rsh/6, Timeout: 2, Valid Resource information : RSH ALG, 2, 0 In: 30.0.172.12/1023 --> 40.0.172.45/514;tcp, If: fe-3/0/0.0, Pkts: 7, Bytes: 320 Out: 40.0.172.45/514 --> 30.0.172.12/1023;tcp, If: fe-3/0/1.0, Pkts: 7, Bytes: 314 Session ID: 2925, Policy name: rsh/6, Timeout: 2, Valid Resource information : RSH ALG, 2, 24 In: 40.0.172.45/44864 --> 30.0.172.12/113;tcp, If: fe-3/0/1.0, Pkts: 5, Bytes: 278 Out: 30.0.172.12/113 --> 40.0.172.45/44864;tcp, If: fe-3/0/0.0, Pkts: 5, Bytes: 345 Session ID: 2926, Policy name: rsh/6, Timeout: 2, Valid Resource information : RSH ALG, 2, 23 In: 40.0.172.45/1023 --> 30.0.172.12/1022;tcp, If: fe-3/0/1.0, Pkts: 4, Bytes: 216 Out: 30.0.172.12/1022 --> 40.0.172.45/1023;tcp, If: fe-3/0/0.0, Pkts: 3, Bytes: 164 Total sessions: 3
Sens
Session ID: numéro identifiant la session. Utilisez cet ID pour obtenir davantage d’informations sur la session, telles que le nom de la stratégie, le nombre de paquets entrants et sortants.
Policy name: nom de la stratégie qui a autorisé le trafic.
In: flux entrant (adresses IP source et de destination avec leurs numéros de port source et de destination respectifs, la session est TCP et l’interface source de cette session est fe-3/0/0.0).
Out: flux inverse (adresses IP source et de destination avec leurs numéros de port source et de destination respectifs, la session est TCP et l’interface de destination de cette session est fe-3/0/1.0).
Vérification de l’ALG RSH
But
Vérifiez que l’ALG RSH est activé.
Action
À partir du mode opérationnel, entrez la show security alg status commande.
user@host>show security alg status ALG Status : PPTP : Enabled RSH : Disabled RTSP : Enabled SCCP : Enabled SIP : Enabled TALK : Enabled TFTP : Enabled IKE-ESP : Disabled
L’ALG RSH est désactivé par défaut. Pour activer l’ALG RSH, entrez la set security alg rsh commande dans le mode de configuration.
Sens
La sortie affiche l’état RSH ALG comme suit :
Enabled (Activé) : indique que l’ALG RSH est activé.
Disabled (Désactivé) : indique que l’ALG RSH est désactivé.
Vérification du groupe RSH ALG Resource Manager
But
Vérifiez le nombre total de groupes de gestionnaires de ressources et de groupes actifs utilisés par l’ALG RSH.
Action
À partir du mode opérationnel, entrez la show security resource-manager group active commande.
user@host>show security resource-manager group active Group ID 1: Application - RSH ALG Total groups 677, active groups 1
Vérification des informations sur les ressources RSH ALG
But
Vérifiez le nombre total de ressources et de ressources actives qui sont utilisées par l’ALG RSH.
Action
À partir du mode opérationnel, entrez la show security resource-manager resource active commande.
user@host>show security resource-manager resource active Resource ID 2: Group ID - 1, Application - RSH ALG Resource ID 1: Group ID - 1, Application - RSH ALG Total Resources 4044, active resources 2