Juniper

為什麼我的 JunOS 防火牆過濾器會切斷管理訪問權限?

  • October 12, 2011

我們最近安裝了第二個 Internet 連接,因此我在邊緣路由器上成功地配置了基於策略的路由,該路由器是執行 JunOS 9.5R1.8 的瞻博網路 J4350。

我或多或少地通過範例遵循了指南(在此處找到:http: //community.riverbed.com/rvrb/attachments/rvrb/rvrb-7/2886/1/Juniper%20PBR.pdf)並且 PBR 路由出站工作,根據需要將來自 LAN 內特定範圍的流量路由到 ISP 之外,但是當啟用過濾器時,它似乎也擷取了其他流量 - 我無法再通過 LAN 介面通過 SSH 連接到路由器,並且配置似乎也中斷了一些 IPSEC VPN 通過同一路由器。

總之,沒有任何 PBR 和路由通過單個 ISP 正常工作,而routing-options.

作為參考,我輸入的配置部分如下:

ge-0/0/0 {
vlan 標記;
單元 0 {
vlan-id 1;
家庭網{
篩選 {
輸入 PBR;
}
地址 192.168.51.13/24;
}
}
單元 16 {
描述 Hants-ext;
vlan-id 16;
家庭網{
抽樣{
輸入;
輸出;
}
地址 10.249.16.126/25;
}
}
單元 128 {
描述非軍事區;
vlan-id 128;
家庭網{
地址 10.249.16.129/25;
}
}
單元 150 {
描述網路流;
vlan-id 150;
家庭網{
地址 217.20.18.50/29;
}
}
}
家庭網{
過濾採樣{
術語預設{
然後 {
樣本;
接受;
}
}
}
過濾 PBR {
術語 traffic_for_hants {
從 {
源地址{
192.168.0.0/16;
172.16.0.0/16;
192.168.12.0/24 除外;
}
}
然後 {
路由實例 viaHants;
}
}
術語 traffic_for_networkflow {
從 { 
源地址{
192.168.12.0/24;
}
}
然後 {
通過NetworkFlow 路由實例;
}
}
術語預設{
然後接受;
}
}
}
路由選項{
介面路由{
肋骨組inet fbf組;
}
靜止的 {
路由 192.168.0.0/16 下一跳 192.168.51.37;
路由 10.217.163.0/24 下一跳 192.168.51.37;
路由 172.19.0.0/16 下一跳 192.168.51.12;
路由 172.16.0.0/16 下一跳 10.249.16.1;
路由 0.0.0.0/0 下一跳 10.249.16.1;
}
肋組{
fbf 組 {
進口肋[inet.0 viaHants.inet.0 viaNetworkFlow.inet.0];
}
}
}
防火牆{
家庭網{
過濾採樣{
術語預設{
然後 {
樣本;
接受;
} 
}
}
過濾 PBR {
術語 traffic_for_hants {
從 {
源地址{
192.168.0.0/16;
172.16.0.0/16;
192.168.12.0/24 除外;
}
}
然後 {
路由實例 viaHants;
}
}
術語 traffic_for_networkflow {
從 {
源地址{
192.168.12.0/24;
}
}
然後 {
通過NetworkFlow 路由實例;
}
}
術語預設{
然後接受;
}
}
}
過濾所有{
術語全部{
然後 {
樣本;
接受;
}
}
}
}
路由實例{
viaHants {
實例類型轉發;
路由選項{
靜止的 {
路由 0.0.0.0/0 下一跳 10.249.16.1;
路由 192.168.0.0/16 下一跳 192.168.51.37;
路由 10.217.163.0/24 下一跳 192.168.51.37;
路由 172.19.0.0/16 下一跳 192.168.51.12;
路由 172.16.0.0/16 下一跳 10.249.16.1;
}
}
}
通過網路流 {
實例類型轉發;
路由選項{
靜止的 {
路由 0.0.0.0/0 下一跳 217.20.18.49;
路由 192.168.0.0/16 下一跳 192.168.51.37;
路由 10.217.163.0/24 下一跳 192.168.51.37;
路由 172.19.0.0/16 下一跳 192.168.51.12;
路由 172.16.0.0/16 下一跳 10.249.16.1;
} 
} 
} 
} 

路由表:

inet.0:13 個目的地,13 個路線(13 個活動,0 個抑制,0 個隱藏)
+ = 活動路線,- = 最後活動路線,* = 兩者

0.0.0.0/0 *[靜態/5] 5d 02:52:09
> 通過 ge-0/0/0.16 到 10.249.16.1
10.217.163.0/24 *[靜態/5] 5d 02:52:09
> 通過 ge-0/0/0.0 到 192.168.51.37
10.249.16.0/25 *[直接/0] 38w2d 11:16:31
> via ge-0/0/0.16
10.249.16.126/32 *[本地/0] 38w2d 11:17:33
本地通過 ge-0/0/0.16
10.249.16.128/25 *[直接/0] 38w2d 11:16:31
> via ge-0/0/0.128
10.249.16.129/32 *[本地/0] 38w2d 11:17:33
本地通過 ge-0/0/0.128
172.16.0.0/16 *[靜態/5] 5d 02:52:09
> 通過 ge-0/0/0.16 到 10.249.16.1
172.19.0.0/16 *[靜態/5] 5d 02:52:09
> 通過 ge-0/0/0.0 到 192.168.51.12
192.168.0.0/16 *[靜態/5] 5d 02:52:09
> 通過 ge-0/0/0.0 到 192.168.51.37
192.168.51.0/24 *[直接/0] 38w2d 11:16:31
> via ge-0/0/0.0
192.168.51.13/32 *[本地/0] 38w2d 11:17:33
本地通過 ge-0/0/0.0
217.20.18.48/29 *[直接/0] 1w5d 23:06:44
> via ge-0/0/0.150
217.20.18.50/32 *[本地/0] 1w5d 23:06:44
本地通過 ge-0/0/0.150

viaHants.inet.0:13 個目的地,13 條路線(13 條活動,0 條壓制,0 條隱藏)
+ = 活動路線,- = 最後活動路線,* = 兩者

0.0.0.0/0 *[靜態/5] 6d 08:47:33
> 通過 ge-0/0/0.16 到 10.249.16.1
10.217.163.0/24 *[靜態/5] 5d 20:07:57
> 通過 ge-0/0/0.0 到 192.168.51.37
10.249.16.0/25 *[直接/0] 5d 03:17:39
> via ge-0/0/0.16
10.249.16.126/32 *[本地/0] 20:39:33
本地通過 ge-0/0/0.16
10.249.16.128/25 *[直接/0] 5d 03:17:39
> via ge-0/0/0.128
10.249.16.129/32 *[本地/0] 20:39:33
本地通過 ge-0/0/0.128
172.16.0.0/16 *[靜態/5] 5d 20:07:57
> 通過 ge-0/0/0.16 到 10.249.16.1
172.19.0.0/16 *[靜態/5] 5d 20:07:57
> 通過 ge-0/0/0.0 到 192.168.51.12
192.168.0.0/16 *[靜態/5] 5d 20:07:57
> 通過 ge-0/0/0.0 到 192.168.51.37
192.168.51.0/24 *[直接/0] 5d 03:17:39
> via ge-0/0/0.0
192.168.51.13/32 *[本地/0] 20:39:33
本地通過 ge-0/0/0.0
217.20.18.48/29 *[直接/0] 5d 03:17:39
> via ge-0/0/0.150
217.20.18.50/32 *[本地/0] 20:39:33
本地通過 ge-0/0/0.150

viaNetworkFlow.inet.0:13 個目的地,13 個路由(13 個活動,0 個抑制,0 個隱藏)
+ = 活動路線,- = 最後活動路線,* = 兩者

0.0.0.0/0 *[靜態/5] 6d 08:47:33
> 通過 ge-0/0/0.150 到 217.20.18.49
10.217.163.0/24 *[靜態/5] 5d 20:07:57
> 通過 ge-0/0/0.0 到 192.168.51.37
10.249.16.0/25 *[直接/0] 5d 03:17:39
> via ge-0/0/0.16
10.249.16.126/32 *[本地/0] 20:39:33
本地通過 ge-0/0/0.16
10.249.16.128/25 *[直接/0] 5d 03:17:39
> via ge-0/0/0.128
10.249.16.129/32 *[本地/0] 20:39:33
本地通過 ge-0/0/0.128
172.16.0.0/16 *[靜態/5] 5d 20:07:57
> 通過 ge-0/0/0.16 到 10.249.16.1
172.19.0.0/16 *[靜態/5] 5d 20:07:57
> 通過 ge-0/0/0.0 到 192.168.51.12
192.168.0.0/16 *[靜態/5] 5d 20:07:57
> 通過 ge-0/0/0.0 到 192.168.51.37
192.168.51.0/24 *[直接/0] 5d 03:17:39
> via ge-0/0/0.0
192.168.51.13/32 *[本地/0] 20:39:33
本地通過 ge-0/0/0.0
217.20.18.48/29 *[直接/0] 5d 03:17:39
> via ge-0/0/0.150
217.20.18.50/32 *[本地/0] 20:39:33
本地通過 ge-0/0/0.150

這該死的好作品!由於您實際上只需要使用不同的預設網關,因此我會通過在每個術語的 from 節下添加目標地址 0.0.0.0/0 來對您的防火牆過濾器進行一些更改。這樣,只有當目的地是出站 ISP 時才會應用它。不過,這不應該影響訪問管理界面。我通常還會添加一個導入所有連接路線的部分,但我認為您在這裡所做的就是這樣做。你能發布路由表嗎?

這是我做的一些範例,我在其中設置了策略路由以將流量重定向到內部 Web 過濾框。

policy-options {
   prefix-list web-redirect-src-exclusions;
   prefix-list web-redirect-dst-exclusions {
       10.254.0.0/16;
       10.254.1.10/32;
       10.254.1.11/32;
       10.254.1.12/32;
       10.254.128.10/32;
       10.254.128.11/32;
       10.254.128.12/32;
   }
}
firewall {
       family inet {
           filter web-redirect {
               term srx-exclusions {
                   from {
                       source-prefix-list {
                           web-redirect-src-exclusions;
                       }                   
                   }
                   then accept;
               }
               term dst-exclusions {
                   from {
                       destination-prefix-list {
                           web-redirect-dst-exclusions;
                       }
                   }
                   then accept;
               }
               term web-redirect {
                   from {
                       destination-address {
                           0.0.0.0/0;
                       }
                       destination-port [ http https ];
                   }
                   then {
                       routing-instance web-redirect;
                   }
               }
               term default {
                   then accept;
               }
           }
       }
   }
   routing-instances {
       web-redirect {
           instance-type forwarding;
           routing-options {
               static {
                   route 0.0.0.0/0 next-hop 10.1.1.5;
               }
           }
       }
   }

引用自:https://serverfault.com/questions/320269