[GTER] Firewall Juniper SRX

Giuliano Medalha giuliano at wztech.com.br
Fri Jul 27 00:09:32 -03 2012 

Carlos,

Boa noite, tudo bem ?

O que costumamos fazer pra implementacoes que tenham varias vlans
associadas a clientes distintos, cada um na sua zona de seguranca ... e
utilizar o recurso de GROUPS (agrupamento de configuracao) por cliente.

Veja um pequeno exemplo abaixo:

Supondo que a sua Zona DMZ ja tenha sido criada com as interfaces fisicas
ou logicas corretamente associadas a ela.

set security zone security-zone DMZ ...

Voce pode criar um grupo de configuracao chamado CLIENTE-01 (com todas as
configuracoes desse cliente, dentro desse grupo) por exemplo:


-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

show groups | display set | no-more

set groups CLIENTE-01 interfaces fe-0/0/3 unit 0 family ethernet-switching
port-mode access
set groups CLIENTE-01 interfaces fe-0/0/3 unit 0 family ethernet-switching
vlan members CLIENTE-01
set groups CLIENTE-01 interfaces fe-0/0/4 unit 0 family ethernet-switching
port-mode access
set groups CLIENTE-01 interfaces fe-0/0/4 unit 0 family ethernet-switching
vlan members CLIENTE-01

set groups CLIENTE-01 interfaces vlan unit 100 family inet address
192.168.250.1/24

set groups CLIENTE-01 security nat source rule-set NAT-TO-INTERNET from
zone CLIENTE-01
set groups CLIENTE-01 security nat source rule-set NAT-TO-INTERNET to zone
INTERNET
set groups CLIENTE-01 security nat source rule-set NAT-TO-INTERNET rule 14
match source-address 192.168.250.0/24
set groups CLIENTE-01 security nat source rule-set NAT-TO-INTERNET rule 14
match destination-address 0.0.0.0/0
set groups CLIENTE-01 security nat source rule-set NAT-TO-INTERNET rule 14
then source-nat interface

set groups CLIENTE-01 security policies from-zone CLIENTE-01 to-zone
INTERNET policy 10 match source-address CLIENTE-01-LAN-SOURCE
set groups CLIENTE-01 security policies from-zone CLIENTE-01 to-zone
INTERNET policy 10 match destination-address any-ipv4
set groups CLIENTE-01 security policies from-zone CLIENTE-01 to-zone
INTERNET policy 10 match application any
set groups CLIENTE-01 security policies from-zone CLIENTE-01 to-zone
INTERNET policy 10 then permit

set groups CLIENTE-01 security policies from-zone CLIENTE-01 to-zone DMZ
policy 10 match source-address CLIENTE-01-LAN-SOURCE < ---- sua regra padrao
set groups CLIENTE-01 security policies from-zone CLIENTE-01 to-zone DMZ
policy 10 match destination-address any-ipv4
set groups CLIENTE-01 security policies from-zone CLIENTE-01 to-zone DMZ
policy 10 match application dns
set groups CLIENTE-01 security policies from-zone CLIENTE-01 to-zone DMZ
policy 10 then permit

set groups CLIENTE-01 security zones security-zone CLIENTE-01 address-book
address CLIENTE-01-LAN-SOURCE 192.168.250.0/24
set groups CLIENTE-01 security zones security-zone CLIENTE-01 interfaces
vlan.100 host-inbound-traffic system-services all
set groups CLIENTE-01 security zones security-zone CLIENTE-01 interfaces
vlan.100 host-inbound-traffic protocols all

set groups CLIENTE-01 applications application dns protocol udp
set groups CLIENTE-01 applications application dns destination-port 53

set groups CLIENTE-01 vlans CLIENTE-01 vlan-id 100

----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Feito isso, voce precisa aplicar essa configuracao especifica:


set apply-groups CLIENTE-01

commit check (outras opcoes como comment ou confirmed sao muito uteis
quando estiver fazendo remotamente !!!)

commit


---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

... quando for criar um novo cliente ....


#copy groups CLIENTE-01 to CLIENTE-02

#edit groups CLIENTE-02

#replace pattern CLIENTE-01 with CLIENTE-02  (e so um exemplo ok ? - tome
muito cuidado com este comando)

Mude tb os nomes de interface, IPs de origem, objetos que definem IPs ...
etc ...

A sua SECURITY POLICY padrao (acesso a zona DMZ com DNS) estara sempre no
grupo novo e suas configuracoes agora estarao organizadas e agrupadas por
cliente (por exemplo).

Com GROUPS o seu custo operacional podera diminuir bastante quando o numero
de susbrcriber aumenta.  Eu acredito que seja uma excelente ferramenta.

Tome somente cuidado pra nao errar, quando copiar um grupo pra outro e
depois editar, ok ?

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------


Espero ter ajudado.

Se tiver alguma duvida me envie ... estarei a disposicao.

Att,

Giuliano




2012/7/26 Shombra Shombra <shombra at shombra.com.br>

> Bom dia/Boa tarde,
>
> Tenho um Firewall Juniper SRX240 nele tenho varias zonas criadas, cada
> zona com uma interface unit, A/B/.../X/Y/Z/WAN, tenho criada as regras das
> zonas para WAN Liberando a internet e da WAN para Zonas liberando alguns
> serviços... até aqui sem problemas.
>
> no entanto me deparei com o seguinte problema uma de minhas zonas é
> responsavel pelos meus servidores DNS's e se eu não criar uma regra das
> zonas para zona de DNS ele não funciona só que se eu tiver 500 zonas tenho
> criar 500 regras para o meu servidor DNS.
>
> Alguem sabe se tem como eu criar uma regra de ANY zone to zone X?
>
> minha Default policy é DENY.
>
> Att,
> Carlos
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list