Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

RSH ALG

El shell remoto (RSH) proporciona un canal para ejecutar comandos en un host remoto. A diferencia de Telnet o SSH, que crean una sesión de shell de terminal en el sistema remoto, RSH pasa los datos de comando y autenticación. El protocolo usa el puerto TCP 514 para pasar los datos de autenticación y el comando. El servidor devuelve el stdout del comando al puerto de origen del cliente. RSH requiere una ALG para pasar un segundo puerto de cliente al servidor para la transmisión del flujo stderr.

Descripción del ALG RSH

La Puerta de enlace de capa de aplicación (ALG) de shell remoto (RSH) procesa paquetes RSH que inician solicitudes y abren dos puertas para permitir que los paquetes se devuelvan desde la dirección inversa al cliente. Una puerta se utiliza para una sesión de identificación (ident) para aplicar autorización y la otra puerta se utiliza para una sesión de error estándar (stderr) para transferir un mensaje de error.

Nota:

La ALG RSH no funciona si la traducción de direcciones de puerto (PAT) está configurada. El RSH requiere que el intervalo de puertos esté entre 512 y 1024. El módulo TDR de origen no puede coincidir con este intervalo de puertos.

Ejemplo: Configuración del RSH ALG

En este ejemplo, se muestra cómo configurar RSH ALG en modo de ruta o TDR. La configuración permite que el tráfico RSH pase a través de un dispositivo, y transfiere comandos y resultados remotos entre un cliente y un servidor ubicado en lados opuestos de un dispositivo de Juniper Networks.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Un dispositivo serie SRX

  • Dos PC (servidor y cliente)

Antes de empezar:

  • Comprenda los conceptos detrás de los ALG. Vea descripción general de ALG

  • Comprenda los conceptos básicos de RSH ALG. Vea la descripción del ALG de RSH

Visión general

En este ejemplo, primero configure las interfaces de red en el dispositivo. Cree zonas de seguridad y asigne interfaces a las zonas, y configure una política para permitir que el tráfico RSH pase por un dispositivo de la serie SRX.

A continuación, se crea un conjunto de reglas TDR estático rs1 con una regla r1 para que coincida con la dirección de destino 40.0.172.10/32, y se crea un prefijo TDR estático con la dirección 40.0.172.45/32.

A continuación, se crea un grupo TDR de origen src-p1 con un conjunto de reglas de origen src-rs1 para traducir paquetes de la interfaz fe-3/0/0.0 a la interfaz fe-3/0/1.0. Para los paquetes coincidentes, la dirección de origen se traduce a una dirección IP en el grupo src-p1.

A continuación, se crea un conjunto TDR de destino des-p1 con un conjunto de reglas de destino des-rs1 para traducir paquetes de la confianza de zona a la dirección de destino 40.0.172.10/32. Para paquetes coincidentes, la dirección de destino se traduce a una dirección IP en el grupo de des-p1. Por último, habilite las opciones de seguimiento ALG RSH.

Topología

La Figura 1 muestra la topología ALG RSH.

Figura 1: Topología RSH ALG Topology RSH ALG

Configuración

Para configurar el ALG RSH, realice estas tareas:

Configurar un modo de ruta

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Para configurar el modo de ruta:

  1. Configure interfaces.

  2. Configure zonas y asigne interfaces a las zonas.

  3. Configure una política de RSH que permita el tráfico RSH desde la zona de confianza hasta la zona de no confianza.

Resultados

Desde el modo de configuración, ingrese los comandos , show security zonesy show security policies para confirmar la show interfacesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para la corrección.

Para mayor brevedad, este show resultado solo incluye la configuración relevante para este ejemplo. Cualquier otra configuración del sistema se ha reemplazado por puntos suspensivos (...).

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configuración de un conjunto de reglas TDR estático

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Para configurar un conjunto de reglas TDR estático:

  1. Cree un conjunto de reglas TDR estático.

  2. Defina la regla para que coincida con la dirección de destino.

  3. Defina el prefijo TDR estático para el dispositivo.

Resultados

Desde el modo de configuración, ingrese el comando para confirmar la show security nat configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configurar un grupo de TDR de origen y un conjunto de reglas sin PAT

Configuración rápida de CLI
Nota:

RSH ALG no admite la configuración de PAT. El ALG RSH requiere que el intervalo de puertos stderr esté entre 512 y 1024. El módulo TDR de origen no puede coincidir con este intervalo de puertos.

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Para configurar un grupo TDR de origen y un conjunto de reglas:

  1. Cree un grupo TDR de origen.

  2. Cree un grupo TDR de origen sin traducción de puerto.

  3. Cree un conjunto de reglas TDR de origen.

  4. Configure una regla que haga coincidir paquetes y traduzca la dirección de origen a una dirección del grupo de origen.

  5. Configure una regla que coincida con paquetes y traduzca la dirección de destino a una dirección del grupo de origen.

  6. Configure un grupo TDR de origen en la regla.

Resultados

Desde el modo de configuración, ingrese el comando para confirmar la show security nat configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configuración de un grupo de TDR de destino y un conjunto de reglas

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Para configurar un grupo de TDR de destino y un conjunto de reglas:

  1. Cree un grupo TDR de destino.

  2. Cree un conjunto de reglas TDR de destino.

  3. Configure una regla que coincida con los paquetes y traduzca la dirección de origen a la dirección del grupo.

  4. Configure una regla que coincida con los paquetes y traduzca la dirección de destino a la dirección del grupo.

  5. Configure un grupo TDR de origen en la regla.

Resultados

Desde el modo de configuración, ingrese el comando para confirmar la show security nat configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Habilitación de opciones de seguimiento de ALG RSH

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Para habilitar las opciones de seguimiento de ALG RSH:

  1. Habilite las opciones de seguimiento ALG RSH.

  2. Configure un nombre de archivo para recibir el resultado de la operación de seguimiento.

  3. Especifique el tamaño máximo del archivo de seguimiento.

  4. Especifique el nivel de salida de seguimiento.

Resultados

Desde el modo de configuración, ingrese el comando para confirmar la show security alg configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Confirme que la configuración funciona correctamente.

Verificar la sesión de control ALG RSH

Propósito

Compruebe que se ejecuta el comando RSH y que se crean todas las sesiones de datos y de control RSH.

Acción

Desde el modo operativo, ingrese el show security flow session comando.

Significado
  • Session ID—Número que identifica la sesión. Utilice este ID para obtener más información acerca de la sesión, como el nombre de la política, el número de paquetes que entra y sale.

  • Policy name— Nombre de la política que permitió el tráfico.

  • In—Flujo de entrada (direcciones IP de origen y destino con sus respectivos números de puerto de origen y destino, la sesión es TCP, y la interfaz de origen para esta sesión es fe-3/0/0.0).

  • Out—Flujo inverso (direcciones IP de origen y destino con sus respectivos números de puerto de origen y destino, la sesión es TCP, y la interfaz de destino para esta sesión es fe-3/0/1.0).

Verificar el ALG RSH

Propósito

Compruebe que el ALG RSH está habilitado.

Acción

Desde el modo operativo, ingrese el show security alg status comando.

Nota:

El ALG RSH está deshabilitado de forma predeterminada. Para habilitar el ALG RSH, escriba el set security alg rsh comando en el modo de configuración.

Significado

El resultado muestra el estado ALG de RSH de la siguiente manera:

  • Habilitado: muestra que RSH ALG está habilitado.

  • Deshabilitado (Disabled): muestra que RSH ALG está deshabilitado.

Verificar el grupo RSH ALG Resource Manager

Propósito

Compruebe el número total de grupos de administración de recursos y grupos activos que utiliza RSH ALG.

Acción

Desde el modo operativo, ingrese el show security resource-manager group active comando.

Verificar la información de recursos de ALG RSH

Propósito

Verifique la cantidad total de recursos y recursos activos que utiliza RSH ALG.

Acción

Desde el modo operativo, ingrese el show security resource-manager resource active comando.