Juniper SRXルーターのセットアップに関するいくつかの記事が既にあります(たとえば、
one 、
two 、
threeなど)。 この記事では、有用な情報を統合して、それをいくつかの素敵な小さなもので補完しようとします。
猫に興味がある人は誰でも聞いてください。
新しいジュニパーSRX240Bは私の手に落ち、以下のすべてが適用されます。 そして以来 JunOSは、シリーズ全体(少なくとも)で単一のOSとして位置付けられ、その後、独自の結論を導き出します。 また、JunOS 12.1X46-D20.5のバージョン(投稿の公開時の最新版)も使用しています。
cartman@gw-jsrx240
まず、解決するタスクの小さな円を提示します。
- 送信元NAT
- DHCPサーバー
- DNSサーバー
- SSH強化
- IDP、セキュリティ機能
行こう...
送信元NAT
ソースNATを構成するには、次のコマンドを実行するだけです。
cartman@gw-jsrx240
または、構成の形式で:
cartman@gw-jsrx240
この構成では、ルーターの内部インターフェイスで構成されるすべてのネットワークがNATします。 一部のみをNATする必要がある場合は、代わりに:
set security nat source rule-set trust-to-untrust rule source-nat-rule match source-address 0.0.0.0/0
書き込む必要があります(ネットワーク172.16.1.0/27の例を示します)。
set security nat source rule-set trust-to-untrust rule source-nat-rule match source-address 172.16.1.0/27
DHCPサーバー
次に、SRXをDHCPサーバーとして構成します。 インターフェイスはすでに構成されていると想定されており、
vlan.0インターフェイスに対してのみDHCPサーバーを構成する必要があります。
cartman@gw-jsrx240
または、構成の形式で:
cartman@gw-jsrx240
この場合、リースの有効期間を
6時間に設定します (6 * 60分* 60秒= 21600秒)。 デフォルトゲートウェイは
172.16.1.1を実行します。
172.16.1.2からアドレスの配布を開始し、
172.16.1.30 (DHCPサーバーが機能する範囲)を終了します。
これらのオプションは、
vlan.0インターフェイスでのみ機能します。 必要に応じて、たとえば
ge-0 / 0/1など、インターフェイスの実際の名前に置き換えることができます。
DHCPサーバーの統計は、次のコマンドで表示できます。
cartman@gw-jsrx240
DNSサーバー
次に、DNSサーバーのセットアップに進みましょう。 Junos OSバージョン12.1x44D10以降では
、 DNSプロキシが
サポートされています。設定してみましょう。
cartman@gw-jsrx240
または、構成の形式で:
cartman@gw-jsrx240
ここでは、vlan.0インターフェイスでDNSサーバーの動作を構成しました。 gw-jsrx240.HOME.localのAレコードを作成しました(このようなレコードを自分で複数作成できます)。 他のすべてのDNSクエリに対してDNSフォワーダーを設定します。
DNSサーバーをすべての内部インターフェイスに対して有効にする必要がある場合、これは次のように実行できます(複数のVLANがある場合、それに応じて設定を行う必要があります)。
cartman@gw-jsrx240
または、構成の形式で:
cartman@gw-jsrx240
DNSクエリの統計は、次のように表示できます。
cartman@gw-jsrx240
次のようなDNSキャッシュのエントリを見てください(多くのエントリがあるため、デバイスキャッシュ自体は表示されません)。
cartman@gw-jsrx240
次のようにDNSキャッシュをクリアします。
cartman@gw-jsrx240
SSH強化
次に、SSHサーバーをセキュリティで保護します(外部に見えても)(SSH_RSA_PUBLIC_KEYの代わりに、SSH RSA公開キーを挿入する必要があります)。
cartman@gw-jsrx240
または、構成の形式で:
cartman@gw-jsrx240
説明:
- root-login deny -rootがSSH経由で接続することを禁止します
- protocol-version v2 -SSHv2プロトコルバージョンのみを使用
- connection-limit 5-同時SSH接続の最大数
- レート制限 5-1分あたりのSSH接続の最大数
- retry-before-disconnect 5-パスワードの試行が許可される回数。その後、セッションは切断されます
- backoff-threshold 1-これにより、不正なパスワードの試行回数が遅延します
- backoff-factor 10 -backoff-thresholdに達すると、ユーザーは10秒間ブロックされます。
- 最小時間30-パスワードの入力が許可される秒数。その後、セッションは切断されます
私はrootにパスワードを使用してログインする機能を残しておきたいのですが、コンソール経由でのみ使用します。 上記の制限を持つキーのみを持つ他のユーザー。
IDP、セキュリティ機能
cartman@gw-jsrx240
または、構成の形式で:
cartman@gw-jsrx240
最後に...
コミットすることを忘れないでください。そうしないと、変更は有効になりません。
cartman@gw-jsrx240
合計
最終的な構成は以下で表示できます。 ルーターには、非常に適切なお金で必要な機能がすべて備わっています。
cartman @ gw-jsrx240#showcartman @ gw-jsrx240#show
##最終変更日:2014-07-12 20:15:48 MSK
バージョン12.1X46-D20.5;
システム{
ホスト名gw-jsrx240;
ドメイン名HOME.local;
ドメイン検索HOME.local;
タイムゾーンヨーロッパ/モスクワ;
認証順序パスワード。
ルート認証{
暗号化パスワード「$ 1 $ ENCRYPTED_PASSWORD」; ##シークレットデータ
}
ネームサーバー{
172.16.1.1;
}
名前解決{
入力時に解決しない;
}
ログイン{
retry-options {
切断前の試行5;
バックオフしきい値1。
backoff-factor 10;
最小時間30;
}
ユーザーcartman {
フルネーム「FIRST_NAME LAST_NAME」;
uid 2000;
クラスのスーパーユーザー。
認証{
ssh-rsa "SSH_RSA_PUBLIC_KEY"; ##シークレットデータ
}
}
}
サービス{
ssh {
ルートログイン拒否。
プロトコルバージョンv2。
接続制限5。
レート制限5。
}
dns {
フォワーダー{
8.8.8.8;
8.8.4.4;
}
dns-proxy {
インターフェース{
vlan.0;
}
キャッシュ{
gw-jsrx240.HOME.local inet 172.16.1.1;
}
}
}
ウェブ管理{
https {
ポート443;
システム生成証明書;
インターフェイスvlan.0;
}
セッション{
アイドルタイムアウト300。
セッション制限2。
}
}
dhcp {
最大リース時間21600;
デフォルトのリース時間21600;
プール172.16.1.0/27 {
アドレス範囲の下限172.16.1.2上限172.16.1.30;
ルーター{
172.16.1.1;
}
}
propagate-settings vlan.0;
}
}
syslog {
アーカイブサイズ100kファイル3;
ユーザー* {
緊急事態;
}
ファイルメッセージ{
重大な;
認証情報;
}
ファイルインタラクティブコマンド{
インタラクティブコマンドエラー。
}
}
max-configurations-on-flash 5;
max-configuration-rollbacks 5;
ライセンス{
自動更新{
url
ae1.juniper.net/junos/key_retrieval;}
}
ntp {
server 0.pool.ntp.orgが好む;
サーバー1.pool.ntp.org;
サーバー2.pool.ntp.org;
サーバー3.pool.ntp.org;
}
}
インターフェース{
interface-range interfaces-trust {
メンバー範囲ge-0 / 0/1からge-0 / 0/15;
ユニット0 {
ファミリーイーサネットスイッチング{
vlan {
メンバーvlan-trust;
}
}
}
}
ge-0 / 0/0 {
ユニット0 {
ファミリーinet {
dhcp;
}
}
}
ge-0 / 0/1 {
ユニット0 {
ファミリーイーサネットスイッチング{
vlan {
メンバーvlan-trust;
}
}
}
}
ge-0 / 0/2 {
ユニット0 {
ファミリーイーサネットスイッチング{
vlan {
メンバーvlan-trust;
}
}
}
}
ge-0 / 0/3 {
ユニット0 {
ファミリーイーサネットスイッチング{
vlan {
メンバーvlan-trust;
}
}
}
}
ge-0 / 0/4 {
ユニット0 {
ファミリーイーサネットスイッチング{
vlan {
メンバーvlan-trust;
}
}
}
}
ge-0 / 0/5 {
ユニット0 {
ファミリーイーサネットスイッチング{
vlan {
メンバーvlan-trust;
}
}
}
}
ge-0 / 0/6 {
ユニット0 {
ファミリーイーサネットスイッチング{
vlan {
メンバーvlan-trust;
}
}
}
}
ge-0 / 0/7 {
ユニット0 {
ファミリーイーサネットスイッチング{
vlan {
メンバーvlan-trust;
}
}
}
}
ge-0 / 0/8 {
ユニット0 {
ファミリーイーサネットスイッチング{
vlan {
メンバーvlan-trust;
}
}
}
}
ge-0 / 0/9 {
ユニット0 {
ファミリーイーサネットスイッチング{
vlan {
メンバーvlan-trust;
}
}
}
}
ge-0 / 0/10 {
ユニット0 {
ファミリーイーサネットスイッチング{
vlan {
メンバーvlan-trust;
}
}
}
}
ge-0 / 0/11 {
ユニット0 {
ファミリーイーサネットスイッチング{
vlan {
メンバーvlan-trust;
}
}
}
}
ge-0 / 0/12 {
ユニット0 {
ファミリーイーサネットスイッチング{
vlan {
メンバーvlan-trust;
}
}
}
}
ge-0 / 0/13 {
ユニット0 {
ファミリーイーサネットスイッチング{
vlan {
メンバーvlan-trust;
}
}
}
}
ge-0 / 0/14 {
ユニット0 {
ファミリーイーサネットスイッチング{
vlan {
メンバーvlan-trust;
}
}
}
}
ge-0 / 0/15 {
ユニット0 {
ファミリーイーサネットスイッチング{
vlan {
メンバーvlan-trust;
}
}
}
}
vlan {
ユニット0 {
ファミリーinet {
アドレス172.16.1.1/27;
}
}
}
}
プロトコル{
stp;
}
セキュリティ{
画面{
ids-option untrust-screen {
icmp {
ping-death;
}
ip {
ソースルートオプション。
涙滴;
}
tcp {
syn-flood {
アラームしきい値1024;
攻撃しきい値200;
ソースしきい値1024;
宛先しきい値2048;
タイムアウト20。
}
土地;
}
}
}
nat {
ソース{
ルールセットのtrust-to-untrust {
ゾーンの信頼から。
ゾーンの信頼を失います。
ルールsource-nat-rule {
マッチ{
送信元アドレス0.0.0.0/0;
}
その後{
source-nat {
インターフェース;
}
}
}
}
}
}
ポリシー{
from-zone trust to-zone untrust {
ポリシーtrust-to-untrust {
マッチ{
送信元アドレスany;
宛先アドレスany;
アプリケーションany;
}
その後{
許可;
}
}
}
from-zone trust to-zone trust {
ポリシーtrust-to-trust {
マッチ{
送信元アドレスany;
宛先アドレスany;
アプリケーションany;
}
その後{
許可;
}
}
}
}
ゾーン{
security-zone untrust {
画面untrust-screen;
インターフェース{
ge-0 / 0 / 0.0 {
host-inbound-traffic {
system-services {
ping
ssh;
dhcp;
}
}
}
}
}
セキュリティゾーンの信頼{
host-inbound-traffic {
system-services {
すべて;
}
プロトコル{
すべて;
}
}
インターフェース{
vlan.0;
}
}
}
}
vlans {
vlan-trust {
vlan-id 10;
l3-interface vlan.0;
}
}
招待が発行された場合、PPPoE、ダイナミックVPN、サイト間VPNなどの設定について説明します。