[GTER] Firewall Juniper/Junos

Wed Apr 29 14:55:18 -03 2015

Juliano,

tente algo conforme script abaixo:

set firewall family inet filter Testes-Firewall-Junos term 10 from
source-address 0.0.0.0/0
set firewall family inet filter Testes-Firewall-Junos term 10 from
source-address X.X.X.X/X except (host que terá permissão de acesso SSH)
set firewall family inet filter Testes-Firewall-Junos term 10 from protocol
tcp
set firewall family inet filter Testes-Firewall-Junos term 10 from
destination-port 22
set firewall family inet filter Testes-Firewall-Junos term 10 then reject
set firewall family inet filter Testes-Firewall-Junos term 20 then accept

Abs!

Em 29 de abril de 2015 14:53, Rodrigo Augusto <rodrigo at 1telecom.com.br>
escreveu:

> Desta forma voce está aceitando os pacotes ssh e icmp somente e o term 5
> descarta o resto..
> Me corrijam se eu estiver errado por favorŠ.
>
>
> Rodrigo Augusto
> Gestor de T.I. Grupo Connectoway
> http://www.connectoway.com.br <http://www.connectoway.com.br/>
> http://www.1telecom.com.br <http://www.1telecom.com.br/>
> * rodrigo at connectoway.com.br
> ( (81) 3497-6060
> ( (81) 8184-3646
> ( INOC-DBA 52965*100
>
>
>
>
> On 29/04/15 12:03, "juliano at cdznet.com.br" <juliano at cdznet.com.br> wrote:
>
> >Ola,
> >
> >Estou tentando ativar um firewall na unit de um cliente, segue unit com
> >o filtro ativado no filter input
> >
> >show interfaces ge-1/0/8 unit 443
> >
> >description "####Testes-Firewall-Junos####";
> >vlan-id 443;
> >family inet {
> >     filter {
> >         input Testes-Firewall-Junos;
> >     }
> >     address 191.243.140.145/29;
> >}
> >
> >Segue firewall filter Testes-Firewall-Junos
> >
> >term 1 {
> >     from {
> >         protocol tcp;
> >         port ssh;
> >     }
> >     then accept;
> >}
> >term 2 {
> >     from {
> >         protocol icmp;
> >     }
> >     then accept;
> >}
> >term 5 {
> >     then {
> >         syslog;
> >         reject;
> >     }
> >}
> >
> >
> >Porem quando dou o commit, o filtro bloqueia os pacotes originados do
> >servidor que esta no bloco 191.243.140.145/29, a ideia e bloquear
> >somente o trafego de entrada, que vem de fora internet para o bloco
> >191.243.140.145/29.
> >
> >Alguem que trabalha com Juniper pode me dar uma luz.
> >
> >
> >
> >--
> >gter list    https://eng.registro.br/mailman/listinfo/gter
>
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

-- 
Atenciosamente,
*Paulo Renato Avellar Dias*
*Telecom Specialist*
*Engenharia de Redes *
Tel: +55 (31) 3305-5660
Cel: +55 (31) 9796-3149
INOC: 28250*600
paulo at telbrax.com.br  <paulo at telbrax.com.br>
www.telbrax.com.br

<paulo at telbrax.com.br>
<http://www.telbrax.com.br>