このページで
RSH ALG
リモート シェル(RSH)は、リモート ホストでコマンドを実行するための導管を提供します。リモートシステムで端末シェルセッションを作成するTelnetまたはSSHとは異なり、RSHはコマンドと認証データを渡します。プロトコルは、514 TCPポートを使用して認証データと コマンドを渡します。サーバーは、 コマンドのstdoutをクライアントのソースポートに返します。RSH では、stderr ストリームを送信するために、2 番目のクライアント ポートをサーバーに渡すために ALG が必要です。
RSH ALG について
リモートシェル(RSH)アプリケーション層ゲートウェイ(ALG)は、リクエストを開始するRSHパケットを処理し、2つのゲートを開いて、逆方向からクライアントへのパケットの返送を許可します。認証を適用する識別 (id) セッションには 1 つのゲートを使用し、もう一方のゲートは標準エラー (stderr) セッションに使用されてエラー・メッセージを転送します。
ポートアドレス変換(PAT)が設定されている場合、RSH ALGは機能しません。RSH では、ポート範囲が 512~1024 である必要があります。ソース NAT モジュールは、このポート範囲に一致しません。
「」も参照
例:RSH ALG の設定
この例では、ルートまたはNATモードでRSH ALGを設定する方法を示しています。この設定により、RSH トラフィックはデバイスを通過でき、リモート コマンドと結果を、ジュニパーネットワークス デバイスの反対側にあるクライアントとサーバーの間で転送します。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
SRX シリーズ ファイアウォール
2 個の PC(サーバーとクライアント)
開始する前に、以下を行います。
ALG の背景にある概念を理解する。ALG の概要を参照
RSH ALG の基本を理解する。 RSH ALG について
概要
この例では、まずデバイスにネットワークインターフェイスを設定します。セキュリティ ゾーンを作成し、インターフェイスをゾーンに割り当て、RSH トラフィックが SRX シリーズ ファイアウォールを通過できるようにポリシーを設定します。
次に、宛先アドレス 40.0.172.10/32 と一致するルール r1 で静的 NAT ルール セット rs1 を作成し、アドレス 40.0.172.45/32 を持つ静的 NAT プレフィックスを作成します。
次に、src-3/0/0.0 インターフェイス fe-3/0/1.0 からインターフェイス fe-3/0/1.0 にパケットを変換するソース ルールを設定したソース NAT プール src-p1 を作成します。一致するパケットの場合、送信元アドレスは src-p1 プール内の IP アドレスに変換されます。
次に、宛先ルールセット des-rs1 を使用して宛先 NAT プール des-p1 を作成し、ゾーン信頼から宛先アドレス 40.0.172.10/32 にパケットを変換します。一致するパケットの場合、宛先アドレスは des-p1 プール内の IP アドレスに変換されます。最後に、RSH ALG トレース オプションを有効にします。
構成
RSH ALG を設定するには、次のタスクを実行します。
- ルート モードの設定
- 静的 NAT ルール セットの設定
- PAT なしのソース NAT プールとルール セットの設定
- 宛先 NAT プールとルール セットの設定
- RSH ALG トレース オプションの有効化
ルート モードの設定
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。
set interfaces ge-0/0/0 unit 0 family inet address 10.208.172.58/21 set interfaces fe-3/0/0 unit 0 family inet address 30.3.3.149/8 set interfaces fe-3/0/1 unit 0 family inet address 40.4.4.149/8 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces fe-3/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces fe-3/0/1.0 set security policies from-zone trust to-zone untrust policy rsh match source-address any set security policies from-zone trust to-zone untrust policy rsh match destination-address any set security policies from-zone trust to-zone untrust policy rsh match application junos-rsh set security policies from-zone trust to-zone untrust policy rsh then permit
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 CLIユーザーガイドの設定モードでのCLIエディターの使用を参照してください。
ルートモードを設定するには:
インターフェイスを設定します。
[edit interfaces] user@host#set ge-0/0/0 unit 0 family inet address 10.208.172.58/21 user@host#set fe-3/0/0 unit 0 family inet address 30.3.3.149/8 user@host#set fe-3/0/1 unit 0 family inet address 40.4.4.149/8
ゾーンを設定し、ゾーンにインターフェイスを割り当てます。
[edit security zones security-zone] user@host#set trust host-inbound-traffic system-services all user@host#set trust host-inbound-traffic protocols all user@host#set trust interfaces fe-3/0/0.0 user@host#set untrust host-inbound-traffic system-services all user@host#set untrust host-inbound-traffic protocols all user@host#set untrust interfaces fe-3/0/0.1
trust ゾーンから untrust ゾーンへの RSH トラフィックを許可する RSH ポリシーを設定します。
[edit security policies from-zone trust to-zone untrust] user@host#set policy rsh match source-address any user@host#set policy rsh match destination-address any user@host#set policy rsh match application junos-rsh user@host#set policy rsh then permit
結果
設定モードから、 、 、 show security zonesコマンドを入力して設定をshow interfacesshow security policies確認します。出力に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して修正してください。
簡潔にするために、この出力には、この show 例に関連する設定のみが含まれます。システム上の他の設定はすべて省略記号(...)で置き換えられました。
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.208.172.58/21;
}
}
}
fe-3/0/0 {
unit 0 {
family inet {
address 30.3.3.149/8;
}
}
}
fe-3/0/1 {
unit 0 {
family inet {
address 40.4.4.149/8;
}
}
}
[edit]
user@host# show security zones
..
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
fe-3/0/0.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
fe-3/0/1.0;
}
}
...
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy rsh {
match {
source-address any;
destination-address any;
application junos-rsh;
}
then {
permit;
}
}
}
デバイスの設定が完了したら、設定モードから を入力します commit 。
静的 NAT ルール セットの設定
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。
set security nat static rule-set rs1 from zone trust set security nat static rule-set rs1 rule r1 match destination-address 40.0.172.10/32 set security nat static rule-set rs1 rule r1 then static-nat prefix 40.0.172.45/32
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 CLIユーザーガイドの設定モードでのCLIエディターの使用を参照してください。
静的 NAT ルール セットを設定するには::
静的 NAT ルール セットを作成します。
[edit security nat static rule-set rs1] user@host#set from zone trust
宛先アドレスと一致させるルールを定義します。
[edit security nat static rule-set rs1] user@host# set rule r1 match destination-address 40.0.172.10/32
デバイスの静的 NAT プレフィックスを定義します。
[edit security nat static rule-set rs1] user@host# set rule r1 then static-nat prefix 40.0.172.45/32
結果
設定モードから、 コマンドを入力して設定を show security nat 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host# show security nat
static {
rule-set rs1 {
from zone trust;
rule r1 {
match {
destination-address 40.0.172.10/32;
}
then {
static-nat {
prefix {
40.0.172.45/32;
}
}
}
}
}
}
デバイスの設定が完了したら、設定モードから を入力します commit 。
PAT なしのソース NAT プールとルール セットの設定
CLI クイックコンフィギュレーション
RSH ALG は PAT 設定をサポートしていません。RSH ALG では、stderr ポートの範囲は 512~1024 である必要があります。ソース NAT モジュールは、このポート範囲に一致しません。
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。
set security nat source pool src-p1 address 40.0.172.100/32 to 40.0.172.101/32 set security nat source pool src-p1 port no-translation set security nat source rule-set src-rs1 from interface fe-3/0/0.0 set security nat source rule-set src-rs1 to interface fe-3/0/1.0 set security nat source rule-set src-rs1 rule r1 match source-address 30.0.0.0/8 set security nat source rule-set src-rs1 rule r1 match destination-address 40.0.0.0/8 set security nat source rule-set src-rs1 rule r1 then source-nat pool src-p1
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 CLIユーザーガイドの設定モードでのCLIエディターの使用を参照してください。
ソース NAT プールとルール セットを設定するには::
ソース NAT プールを作成します。
[edit security nat source] user@host#set pool src-p1 address 40.0.172.100/32 to 40.0.172.101/32
ポート変換なしのソース NAT プールを作成します。
[edit security nat source ] set pool src-p1 port no-translation
ソース NAT ルール セットを作成します。
[edit security nat source] user@host# set rule-set src-rs1 from interface fe-3/0/0.0 user@host# set rule-set src-rs1 to interface fe-3/0/1.0
パケットと一致し、送信元アドレスを送信元プール内のアドレスに変換するルールを設定します。
[edit security nat source] user@host# set rule-set src-rs1 rule r1 match source-address 30.0.0.0/8
パケットと一致し、宛先アドレスを送信元プール内のアドレスに変換するルールを設定します。
[edit security nat source] user@host# set rule-set src-rs1 rule r1 match destination-address 40.0.0.0/8
ルールでソース NAT プールを設定します。
[edit security nat source] user@host# set rule-set src-rs1 rule r1 then source-nat pool src-p1
結果
設定モードから、 コマンドを入力して設定を show security nat 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host# show security nat
source {
pool src-p1 {
address {
40.0.172.100/32 to 40.0.172.101/32;
}
port no-translation;
}
rule-set src-rs1 {
from interface fe-3/0/0.0;
to interface fe-3/0/1.0;
rule r1 {
match {
source-address 30.0.0.0/8;
destination-address 40.0.0.0/8;
}
then {
source-nat {
pool {
src-p1;
}
}
}
}
}
}
デバイスの設定が完了したら、設定モードから を入力します commit 。
宛先 NAT プールとルール セットの設定
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。
set security nat destination pool des-p1 address 40.0.172.45/32 set security nat destination rule-set des-rs1 from zone trust set security nat destination rule-set des-rs1 rule des-r1 match source-address 30.0.172.12/32 set security nat destination rule-set des-rs1 rule des-r1 match destination-address 40.0.172.10/32 set security nat destination rule-set des-rs1 rule des-r1 then destination-nat pool des-p1
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 CLIユーザーガイドの設定モードでのCLIエディターの使用を参照してください。
宛先 NAT プールとルール セットを設定するには::
宛先 NAT プールを作成します。
[edit security nat destination] user@host#set pool des-p1 address 40.0.172.45/32
宛先 NAT ルール セットを作成します。
[edit security nat destination] user@host# set rule-set des-rs1 from zone trust
パケットと一致し、送信元アドレスをプール内のアドレスに変換するルールを設定します。
[edit security nat destination] user@host# set rule-set des-rs1 rule des-r1 match source-address 30.0.172.12/32
パケットと一致し、宛先アドレスをプール内のアドレスに変換するルールを設定します。
[edit security nat destination] user@host# set rule-set des-rs1 rule des-r1 match destination-address 40.0.172.10/32
ルールでソース NAT プールを設定します。
[edit security nat destination] user@host# set rule-set des-rs1 rule des-r1 then destination-nat pool des-p1
結果
設定モードから、 コマンドを入力して設定を show security nat 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host# show security nat
destination {
pool des-p1 {
address {
40.0.172.45/32;
}
}
rule-set des-rs1 {
from zone trust;
rule des-r1 {
match {
source-address 30.0.172.12/32;
destination-address 40.0.172.10/32;
}
then {
destination-nat {
pool {
des--p1;
}
}
}
}
}
}
デバイスの設定が完了したら、設定モードから を入力します commit 。
RSH ALG トレース オプションの有効化
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。
set security alg rsh traceoptions flag all set security alg traceoptions file trace set security alg traceoptions file size 1g set security alg traceoptions level verbose
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 CLIユーザーガイドの設定モードでのCLIエディターの使用を参照してください。
RSH ALG トレース オプションを有効にするには:
RSH ALG トレース オプションを有効にします。
[edit security alg] user@host#set sql traceoptions flag all
トレース操作からの出力を受信するようにファイル名を設定します。
[edit security alg] user@host#set traceoptions file trace
最大トレース ファイル サイズを指定します。
[edit security alg] user@host#set traceoptions file size 1g
トレース出力のレベルを指定します。
[edit security alg] user@host#set traceoptions level verbose
結果
設定モードから、 コマンドを入力して設定を show security alg 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host# show security alg
traceoptions {
file trace size 1g;
level verbose;
}
rsh traceoptions flag all;
デバイスの設定が完了したら、設定モードから を入力します commit 。
検証
設定が正しく機能していることを確認します。
RSH ALG制御セッションの検証
目的
RSH コマンドが実行され、すべての RSH 制御およびデータ セッションが作成されていることを確認します。
アクション
動作モードから、 コマンドを show security flow session 入力します。
user@host>show security flow session Session ID: 2924, Policy name: rsh/6, Timeout: 2, Valid Resource information : RSH ALG, 2, 0 In: 30.0.172.12/1023 --> 40.0.172.45/514;tcp, If: fe-3/0/0.0, Pkts: 7, Bytes: 320 Out: 40.0.172.45/514 --> 30.0.172.12/1023;tcp, If: fe-3/0/1.0, Pkts: 7, Bytes: 314 Session ID: 2925, Policy name: rsh/6, Timeout: 2, Valid Resource information : RSH ALG, 2, 24 In: 40.0.172.45/44864 --> 30.0.172.12/113;tcp, If: fe-3/0/1.0, Pkts: 5, Bytes: 278 Out: 30.0.172.12/113 --> 40.0.172.45/44864;tcp, If: fe-3/0/0.0, Pkts: 5, Bytes: 345 Session ID: 2926, Policy name: rsh/6, Timeout: 2, Valid Resource information : RSH ALG, 2, 23 In: 40.0.172.45/1023 --> 30.0.172.12/1022;tcp, If: fe-3/0/1.0, Pkts: 4, Bytes: 216 Out: 30.0.172.12/1022 --> 40.0.172.45/1023;tcp, If: fe-3/0/0.0, Pkts: 3, Bytes: 164 Total sessions: 3
意味
Session IDセッションを識別する番号。このIDを使用して、ポリシー名、出し入れパケット数など、セッションに関する詳細な情報を取得します。
Policy name—トラフィックを許可するポリシー名。
In—受信フロー(それぞれの送信元と宛先のポート番号を持つ送信元と宛先の IP アドレス、セッションは TCP、このセッションの送信元インターフェイスは fe-3/0/0.0)
Out—リバース フロー(送信元と宛先の IP アドレスと、それぞれの送信元と宛先のポート番号、セッションは TCP、このセッションの宛先インターフェイスは fe-3/0/1.0)
RSH ALG の検証
目的
RSH ALG が有効になっていることを確認します。
アクション
動作モードから、 コマンドを show security alg status 入力します。
user@host>show security alg status ALG Status : PPTP : Enabled RSH : Disabled RTSP : Enabled SCCP : Enabled SIP : Enabled TALK : Enabled TFTP : Enabled IKE-ESP : Disabled
RSH ALG はデフォルトで無効になっています。RSH ALG を有効にするには、設定モードで コマンドを入力 set security alg rsh します。
意味
出力は、RSH ALG ステータスを次のように示しています。
有効—RSH ALGが有効であることを示しています。
無効—RSH ALGが無効であることを示しています。
RSH ALG リソース マネージャー グループの検証
目的
RSH ALG によって使用されるリソース・マネージャー・グループとアクティブ・グループの総数を確認します。
アクション
動作モードから、 コマンドを show security resource-manager group active 入力します。
user@host>show security resource-manager group active Group ID 1: Application - RSH ALG Total groups 677, active groups 1
RSH ALG リソース情報の検証
目的
RSH ALG が使用するリソースとアクティブ リソースの総数を確認します。
アクション
動作モードから、 コマンドを show security resource-manager resource active 入力します。
user@host>show security resource-manager resource active Resource ID 2: Group ID - 1, Application - RSH ALG Resource ID 1: Group ID - 1, Application - RSH ALG Total Resources 4044, active resources 2