Juniper SRX настройка firewall

Исходные данные: есть juniper srx, на интерфейс fe-0/0/2 приходит кабель провайдера с интернетом , так же на fe-0/0/2 сконфигурирован vlan с ip адресом который нам выдал провайдер.
Задача: сконфигурировать firewall на juniper таким образом, чтобы juniper отвечал на icmp и иметь к нему доступ из глобальной сети по ssh.

conf
set interfaces vlan unit 201 family inet filter input TEST_firewall
commit
set firewall family inet filter TEST_firewall term 10 from protocol tcp
set firewall family inet filter TEST_firewall term 10 from protocol udp
set firewall family inet filter TEST_firewall term 10 from tcp-established
set firewall family inet filter TEST_firewall term 10 then accept
set firewall family inet filter TEST_firewall term icmp from protocol icmp
set firewall family inet filter TEST_firewall term icmp then accept
set firewall family inet filter TEST_firewall term SSH from destination-port 22
set firewall family inet filter TEST_firewall term SSH then accept
set firewall family inet filter TEST_firewall term OTHER then discard
commit confirm 15
commit

1. Переходим в режим конфигурирования.
2. Применяем к интерфейсу l3 vlan 201 фильтр входящих пакетов с именем TEST_firewall.
3. Записываем внесенные изменения.
4. Создаем правило 10 и указываем протокол tcp в качестве разрешаемого.
5. Создаем правило 10 и указываем протокол udp в качестве разрешаемого.
6. Создаем правило 10 и указываем, что tcp пакеты с установленной сессии пропускать.
7. Применяем правило 10.
8. Создаем правило c разрешающее проходить пакетам icmp через firewall.
9 Применяем правило для icmp.
10. Создаем правило для ssh подключения по 22 порту.
11. Применяем правило для ssh
12. Создаем правило ЗАПРЕЩАЮЩЕЕ прохождению через firewall всех иных пакетов.
13. Говорим juniper применить все внесенные изменения ровно на 15 минут (через 15 минут juniper вернется к состоянию последней записанной конфигурации, в нашем случае это шаг 3, полезно когда есть опасения потери доступа к оборудованию).
14. Если все верно, то коммитим в конфиг файл.

Просмотреть правила firewall можно командой:

show configuration firewall

Полностью удалить firewall с интерфейса можно командой

delete interfaces vlan unit 201 family inet filter input TEST_firewall

Редактировать правила firewall

edit firewall family inet filter TEST_firewall

Добавить комментарий