我尝试拒绝来自瞻博网络 MX960 设备中路由实例 CPE 的 ssh 访问。我想知道是否有办法拒绝来自任何路由实例的仅 ssh 访问尝试。
在所有路由实例中拒绝来自 CPE 的 ssh 访问 - Juniper MX960
网络工程
杜松
杜松-朱诺斯
SSH
瞻博网络
2022-02-20 12:37:54
2个回答
你有几个选择::
选项1
过滤器可以留在环回界面上,您可以简单地添加防火墙条款并指定from interface. 因此,如果 xe-0/0/0.0 是路由实例中连接到 CPE 的接口之一,而 1.1.1.1 是路由器的带内管理地址,您可以执行以下操作:
jhead@MX1# show firewall
family inet {
filter PROTECT {
term BLOCK-VRF-1-SSH {
from {
destination-address {
1.1.1.1/32;
}
port ssh;
interface xe-0/0/0.0;
}
then {
discard;
}
}
}
}
选项 2
在面向 CPE 的路由实例中的物理接口上配置防火墙过滤器。首先在物理接口(ae、xe-等)上评估防火墙过滤器,然后在环回上评估。
通常,您要么将 SSH 访问限制为仅对带外管理端口 ( fxp0) 进行访问。如果这不可能,您可以在您的环回接口上设置一个过滤器,以将 SSH 访问限制为仅对您想要允许的 IP 地址进行访问。Juniper在此 TechLibrary 文档中有一些不错的配置示例。基本上,它应该看起来像这样(取自该页面并稍微简化):
set firewall family inet filter local_acl term terminal_access from source-address 192.168.1.0/24
set firewall family inet filter local_acl term terminal_access from protocol tcp
set firewall family inet filter local_acl term terminal_access from port ssh
set firewall family inet filter local_acl term terminal_access then accept
set firewall family inet filter local_acl term terminal_access_denied from protocol tcp
set firewall family inet filter local_acl term terminal_access_denied from port ssh
set firewall family inet filter local_acl term terminal_access_denied then log
set firewall family inet filter local_acl term terminal_access_denied then reject
set firewall family inet filter local_acl term default-term then accept
set interfaces lo0 unit 0 family inet filter input local_acl
请记住,这只是一个示例。保护您的路由引擎免受不需要的流量的过滤器应该更加精细,以阻止各种流量并限制其他类型的流量。应非常谨慎地更改这些策略,以避免中断生产流量。
其它你可能感兴趣的问题