EN ESTA PÁGINA
RSH ALG
El shell remoto (RSH) proporciona un canal para ejecutar comandos en un host remoto. A diferencia de Telnet o SSH, que crean una sesión de shell de terminal en el sistema remoto, RSH pasa los datos de comando y autenticación. El protocolo usa el puerto TCP 514 para pasar los datos de autenticación y el comando. El servidor devuelve el stdout del comando al puerto de origen del cliente. RSH requiere una ALG para pasar un segundo puerto de cliente al servidor para la transmisión del flujo stderr.
Descripción del ALG RSH
La Puerta de enlace de capa de aplicación (ALG) de shell remoto (RSH) procesa paquetes RSH que inician solicitudes y abren dos puertas para permitir que los paquetes se devuelvan desde la dirección inversa al cliente. Una puerta se utiliza para una sesión de identificación (ident) para aplicar autorización y la otra puerta se utiliza para una sesión de error estándar (stderr) para transferir un mensaje de error.
La ALG RSH no funciona si la traducción de direcciones de puerto (PAT) está configurada. El RSH requiere que el intervalo de puertos esté entre 512 y 1024. El módulo TDR de origen no puede coincidir con este intervalo de puertos.
Ver también
Ejemplo: Configuración del RSH ALG
En este ejemplo, se muestra cómo configurar RSH ALG en modo de ruta o TDR. La configuración permite que el tráfico RSH pase a través de un dispositivo, y transfiere comandos y resultados remotos entre un cliente y un servidor ubicado en lados opuestos de un dispositivo de Juniper Networks.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Un dispositivo serie SRX
Dos PC (servidor y cliente)
Antes de empezar:
Comprenda los conceptos detrás de los ALG. Vea descripción general de ALG
Comprenda los conceptos básicos de RSH ALG. Vea la descripción del ALG de RSH
Visión general
En este ejemplo, primero configure las interfaces de red en el dispositivo. Cree zonas de seguridad y asigne interfaces a las zonas, y configure una política para permitir que el tráfico RSH pase por un dispositivo de la serie SRX.
A continuación, se crea un conjunto de reglas TDR estático rs1 con una regla r1 para que coincida con la dirección de destino 40.0.172.10/32, y se crea un prefijo TDR estático con la dirección 40.0.172.45/32.
A continuación, se crea un grupo TDR de origen src-p1 con un conjunto de reglas de origen src-rs1 para traducir paquetes de la interfaz fe-3/0/0.0 a la interfaz fe-3/0/1.0. Para los paquetes coincidentes, la dirección de origen se traduce a una dirección IP en el grupo src-p1.
A continuación, se crea un conjunto TDR de destino des-p1 con un conjunto de reglas de destino des-rs1 para traducir paquetes de la confianza de zona a la dirección de destino 40.0.172.10/32. Para paquetes coincidentes, la dirección de destino se traduce a una dirección IP en el grupo de des-p1. Por último, habilite las opciones de seguimiento ALG RSH.
Configuración
Para configurar el ALG RSH, realice estas tareas:
- Configurar un modo de ruta
- Configuración de un conjunto de reglas TDR estático
- Configurar un grupo de TDR de origen y un conjunto de reglas sin PAT
- Configuración de un grupo de TDR de destino y un conjunto de reglas
- Habilitación de opciones de seguimiento de ALG RSH
Configurar un modo de ruta
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit
desde el [edit]
modo de configuración.
set interfaces ge-0/0/0 unit 0 family inet address 10.208.172.58/21 set interfaces fe-3/0/0 unit 0 family inet address 30.3.3.149/8 set interfaces fe-3/0/1 unit 0 family inet address 40.4.4.149/8 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces fe-3/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces fe-3/0/1.0 set security policies from-zone trust to-zone untrust policy rsh match source-address any set security policies from-zone trust to-zone untrust policy rsh match destination-address any set security policies from-zone trust to-zone untrust policy rsh match application junos-rsh set security policies from-zone trust to-zone untrust policy rsh then permit
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar el modo de ruta:
Configure interfaces.
[edit interfaces] user@host#set ge-0/0/0 unit 0 family inet address 10.208.172.58/21 user@host#set fe-3/0/0 unit 0 family inet address 30.3.3.149/8 user@host#set fe-3/0/1 unit 0 family inet address 40.4.4.149/8
Configure zonas y asigne interfaces a las zonas.
[edit security zones security-zone] user@host#set trust host-inbound-traffic system-services all user@host#set trust host-inbound-traffic protocols all user@host#set trust interfaces fe-3/0/0.0 user@host#set untrust host-inbound-traffic system-services all user@host#set untrust host-inbound-traffic protocols all user@host#set untrust interfaces fe-3/0/0.1
Configure una política de RSH que permita el tráfico RSH desde la zona de confianza hasta la zona de no confianza.
[edit security policies from-zone trust to-zone untrust] user@host#set policy rsh match source-address any user@host#set policy rsh match destination-address any user@host#set policy rsh match application junos-rsh user@host#set policy rsh then permit
Resultados
Desde el modo de configuración, ingrese los comandos , show security zones
y show security policies
para confirmar la show interfaces
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para la corrección.
Para mayor brevedad, este show
resultado solo incluye la configuración relevante para este ejemplo. Cualquier otra configuración del sistema se ha reemplazado por puntos suspensivos (...).
[edit] user@host# show interfaces ge-0/0/0 { unit 0 { family inet { address 10.208.172.58/21; } } } fe-3/0/0 { unit 0 { family inet { address 30.3.3.149/8; } } } fe-3/0/1 { unit 0 { family inet { address 40.4.4.149/8; } } }
[edit] user@host# show security zones .. security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { fe-3/0/0.0; } } security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { fe-3/0/1.0; } } ...
[edit] user@host# show security policies from-zone trust to-zone untrust { policy rsh { match { source-address any; destination-address any; application junos-rsh; } then { permit; } } }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Configuración de un conjunto de reglas TDR estático
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit
desde el [edit]
modo de configuración.
set security nat static rule-set rs1 from zone trust set security nat static rule-set rs1 rule r1 match destination-address 40.0.172.10/32 set security nat static rule-set rs1 rule r1 then static-nat prefix 40.0.172.45/32
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar un conjunto de reglas TDR estático:
Cree un conjunto de reglas TDR estático.
[edit security nat static rule-set rs1] user@host#set from zone trust
Defina la regla para que coincida con la dirección de destino.
[edit security nat static rule-set rs1] user@host# set rule r1 match destination-address 40.0.172.10/32
Defina el prefijo TDR estático para el dispositivo.
[edit security nat static rule-set rs1] user@host# set rule r1 then static-nat prefix 40.0.172.45/32
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show security nat
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show security nat static { rule-set rs1 { from zone trust; rule r1 { match { destination-address 40.0.172.10/32; } then { static-nat { prefix { 40.0.172.45/32; } } } } } }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Configurar un grupo de TDR de origen y un conjunto de reglas sin PAT
Configuración rápida de CLI
RSH ALG no admite la configuración de PAT. El ALG RSH requiere que el intervalo de puertos stderr esté entre 512 y 1024. El módulo TDR de origen no puede coincidir con este intervalo de puertos.
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit
desde el [edit]
modo de configuración.
set security nat source pool src-p1 address 40.0.172.100/32 to 40.0.172.101/32 set security nat source pool src-p1 port no-translation set security nat source rule-set src-rs1 from interface fe-3/0/0.0 set security nat source rule-set src-rs1 to interface fe-3/0/1.0 set security nat source rule-set src-rs1 rule r1 match source-address 30.0.0.0/8 set security nat source rule-set src-rs1 rule r1 match destination-address 40.0.0.0/8 set security nat source rule-set src-rs1 rule r1 then source-nat pool src-p1
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar un grupo TDR de origen y un conjunto de reglas:
Cree un grupo TDR de origen.
[edit security nat source] user@host#set pool src-p1 address 40.0.172.100/32 to 40.0.172.101/32
Cree un grupo TDR de origen sin traducción de puerto.
[edit security nat source ] set pool src-p1 port no-translation
Cree un conjunto de reglas TDR de origen.
[edit security nat source] user@host# set rule-set src-rs1 from interface fe-3/0/0.0 user@host# set rule-set src-rs1 to interface fe-3/0/1.0
Configure una regla que haga coincidir paquetes y traduzca la dirección de origen a una dirección del grupo de origen.
[edit security nat source] user@host# set rule-set src-rs1 rule r1 match source-address 30.0.0.0/8
Configure una regla que coincida con paquetes y traduzca la dirección de destino a una dirección del grupo de origen.
[edit security nat source] user@host# set rule-set src-rs1 rule r1 match destination-address 40.0.0.0/8
Configure un grupo TDR de origen en la regla.
[edit security nat source] user@host# set rule-set src-rs1 rule r1 then source-nat pool src-p1
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show security nat
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show security nat source { pool src-p1 { address { 40.0.172.100/32 to 40.0.172.101/32; } port no-translation; } rule-set src-rs1 { from interface fe-3/0/0.0; to interface fe-3/0/1.0; rule r1 { match { source-address 30.0.0.0/8; destination-address 40.0.0.0/8; } then { source-nat { pool { src-p1; } } } } } }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Configuración de un grupo de TDR de destino y un conjunto de reglas
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit
desde el [edit]
modo de configuración.
set security nat destination pool des-p1 address 40.0.172.45/32 set security nat destination rule-set des-rs1 from zone trust set security nat destination rule-set des-rs1 rule des-r1 match source-address 30.0.172.12/32 set security nat destination rule-set des-rs1 rule des-r1 match destination-address 40.0.172.10/32 set security nat destination rule-set des-rs1 rule des-r1 then destination-nat pool des-p1
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar un grupo de TDR de destino y un conjunto de reglas:
Cree un grupo TDR de destino.
[edit security nat destination] user@host#set pool des-p1 address 40.0.172.45/32
Cree un conjunto de reglas TDR de destino.
[edit security nat destination] user@host# set rule-set des-rs1 from zone trust
Configure una regla que coincida con los paquetes y traduzca la dirección de origen a la dirección del grupo.
[edit security nat destination] user@host# set rule-set des-rs1 rule des-r1 match source-address 30.0.172.12/32
Configure una regla que coincida con los paquetes y traduzca la dirección de destino a la dirección del grupo.
[edit security nat destination] user@host# set rule-set des-rs1 rule des-r1 match destination-address 40.0.172.10/32
Configure un grupo TDR de origen en la regla.
[edit security nat destination] user@host# set rule-set des-rs1 rule des-r1 then destination-nat pool des-p1
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show security nat
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show security nat destination { pool des-p1 { address { 40.0.172.45/32; } } rule-set des-rs1 { from zone trust; rule des-r1 { match { source-address 30.0.172.12/32; destination-address 40.0.172.10/32; } then { destination-nat { pool { des--p1; } } } } } }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Habilitación de opciones de seguimiento de ALG RSH
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit
desde el [edit]
modo de configuración.
set security alg rsh traceoptions flag all set security alg traceoptions file trace set security alg traceoptions file size 1g set security alg traceoptions level verbose
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para habilitar las opciones de seguimiento de ALG RSH:
Habilite las opciones de seguimiento ALG RSH.
[edit security alg] user@host#set sql traceoptions flag all
Configure un nombre de archivo para recibir el resultado de la operación de seguimiento.
[edit security alg] user@host#set traceoptions file trace
Especifique el tamaño máximo del archivo de seguimiento.
[edit security alg] user@host#set traceoptions file size 1g
Especifique el nivel de salida de seguimiento.
[edit security alg] user@host#set traceoptions level verbose
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show security alg
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show security alg traceoptions { file trace size 1g; level verbose; } rsh traceoptions flag all;
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Verificación
Confirme que la configuración funciona correctamente.
- Verificar la sesión de control ALG RSH
- Verificar el ALG RSH
- Verificar el grupo RSH ALG Resource Manager
- Verificar la información de recursos de ALG RSH
Verificar la sesión de control ALG RSH
Propósito
Compruebe que se ejecuta el comando RSH y que se crean todas las sesiones de datos y de control RSH.
Acción
Desde el modo operativo, ingrese el show security flow session
comando.
user@host>show security flow session Session ID: 2924, Policy name: rsh/6, Timeout: 2, Valid Resource information : RSH ALG, 2, 0 In: 30.0.172.12/1023 --> 40.0.172.45/514;tcp, If: fe-3/0/0.0, Pkts: 7, Bytes: 320 Out: 40.0.172.45/514 --> 30.0.172.12/1023;tcp, If: fe-3/0/1.0, Pkts: 7, Bytes: 314 Session ID: 2925, Policy name: rsh/6, Timeout: 2, Valid Resource information : RSH ALG, 2, 24 In: 40.0.172.45/44864 --> 30.0.172.12/113;tcp, If: fe-3/0/1.0, Pkts: 5, Bytes: 278 Out: 30.0.172.12/113 --> 40.0.172.45/44864;tcp, If: fe-3/0/0.0, Pkts: 5, Bytes: 345 Session ID: 2926, Policy name: rsh/6, Timeout: 2, Valid Resource information : RSH ALG, 2, 23 In: 40.0.172.45/1023 --> 30.0.172.12/1022;tcp, If: fe-3/0/1.0, Pkts: 4, Bytes: 216 Out: 30.0.172.12/1022 --> 40.0.172.45/1023;tcp, If: fe-3/0/0.0, Pkts: 3, Bytes: 164 Total sessions: 3
Significado
Session ID—Número que identifica la sesión. Utilice este ID para obtener más información acerca de la sesión, como el nombre de la política, el número de paquetes que entra y sale.
Policy name— Nombre de la política que permitió el tráfico.
In—Flujo de entrada (direcciones IP de origen y destino con sus respectivos números de puerto de origen y destino, la sesión es TCP, y la interfaz de origen para esta sesión es fe-3/0/0.0).
Out—Flujo inverso (direcciones IP de origen y destino con sus respectivos números de puerto de origen y destino, la sesión es TCP, y la interfaz de destino para esta sesión es fe-3/0/1.0).
Verificar el ALG RSH
Propósito
Compruebe que el ALG RSH está habilitado.
Acción
Desde el modo operativo, ingrese el show security alg status
comando.
user@host>show security alg status ALG Status : PPTP : Enabled RSH : Disabled RTSP : Enabled SCCP : Enabled SIP : Enabled TALK : Enabled TFTP : Enabled IKE-ESP : Disabled
El ALG RSH está deshabilitado de forma predeterminada. Para habilitar el ALG RSH, escriba el set security alg rsh
comando en el modo de configuración.
Significado
El resultado muestra el estado ALG de RSH de la siguiente manera:
Habilitado: muestra que RSH ALG está habilitado.
Deshabilitado (Disabled): muestra que RSH ALG está deshabilitado.
Verificar el grupo RSH ALG Resource Manager
Propósito
Compruebe el número total de grupos de administración de recursos y grupos activos que utiliza RSH ALG.
Acción
Desde el modo operativo, ingrese el show security resource-manager group active
comando.
user@host>show security resource-manager group active Group ID 1: Application - RSH ALG Total groups 677, active groups 1
Verificar la información de recursos de ALG RSH
Propósito
Verifique la cantidad total de recursos y recursos activos que utiliza RSH ALG.
Acción
Desde el modo operativo, ingrese el show security resource-manager resource active
comando.
user@host>show security resource-manager resource active Resource ID 2: Group ID - 1, Application - RSH ALG Resource ID 1: Group ID - 1, Application - RSH ALG Total Resources 4044, active resources 2