Comandos Junos 3g5g4q
This document was ed by and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this report form. Report 3i3n4
Overview 26281t
& View Comandos Junos as PDF for free.
More details 6y5l6z
- Words: 6,347
- Pages: 43
COMANDOS JUNOS
Comandos: Muestra los usuraios que existen el sistema root>show system s Detalla tema o protocolos root>help reference ? Entrar al modo de configuracion root>configure
Enlista el estado de cada interface root> show interface terse Mostrar la configuracion de todas las interfaces root# show interfaces Mostrar la configuracion de una intefaces en especifico root# show interfaces ge-0/0/0 Editar la configuracion de una interface root# edit intefaces ge-0/0/0 Moverse de nivel herarquico y estar en modo de configuracion del protocolo root# top edit protocols ospf Subir nivel principal root# top Eejecutar un comando en modo configuracion root# run
Ver la informacion del hardware que tiene instalado el switch, en modo de configuracion: root# run show chassis hardware Salir del modo de configuracion root# exit Mostrar y compara configuraicones anteriores root# show | compare rollback 0
nota: el numero "0" es el numero de Muestra los servicios levantas en el switch root# show services Muestra el status del servicio de ftp root# show services ftp nota: este servicio es un ejemplo ya que sino esta activado nos parecera un error. Guardar la configuracion root# commit Copiar configuracion de interfaces root# copy ge-0/0/6 to ge-0/0/7 Activar o desctivar una inteface root# set ge-0/0/1 disable root# delete ge-0/0/1disable
MODO CLI Cuando nos conectamos en el puerto consola nos parece esto: root@RE:0%_ Es aqui el prompt principal para empezar a trabajar con el equipo, lo primero que debemos de hacer es teclear esto: CLI Ahora como observan cambia el promt y queda asi: @host> Si no tan el promt en el final de toda la linea aparece el caracter ">" eso quiere decir que entramos al equipo no a la configuracion como tal. Para entrar al modo de configuracion del equipo solo basta con escribir este comando: Configure Ahora noten que el promp ya cambio: @host# noten que el simbolo ">" ahora paso a ser "#" eso nos idica que ya estamos en el modo de configuracion y podemos empezar a trabajar con el equipo. Para poder salir del comodo de configuracion y aplicar los cambios es de la de siguiente manera: commit and-quitAhora si queremos salir de todo solo escribimos: exit
Iniciar el instalador para la confiuracion minima del switchNos conectamso por consola y escribimos lo sigueinte: root@:RE:0% ezsetup Y en seguida aparece estos mensajes: 1. Enter the hostname. This is optional. (Aqui ponemos el nombre del switch) 2. Enter the root you plan to use for this device. You are prompted to re-enter the root .(Aqui nos pide que ingresemla contraseña para ingresar como root) 3. Enter yes to enable services like Telnet and SSH. By default, Telnet is not enabled and SSH is enabled.(Nos pide que si queremos habilitar el telnet y el ssh por default telnet esta desahbilitado y ssh se habilita para mayor seguridad) 1. Note: When Telnet is enabled, you will not be able to to an EX Series switch through Telnet using root credentials. Root is allowed only for SSH access. Use the Management Options page to select the management scenario: Note: On EX4500 and EX8200 switches, only the out-of-band management option is available.
Configure in-band management. In this scenario you have the following two
options:
Use the default VLAN. Create a new VLAN—If you select this option, you are prompted to specify the VLAN name, VLAN ID, management IP address, and default gateway. Select the ports that must be part of this VLAN.
Configure out-of-band management. Specify the IP address and gateway of the
management interface. Use this IP address to connect to the switch. 1.
Specify the SNMP Read Community, Location, and to configure
SNMP parameters. These parameters are optional. 2.
Specify the system date and time. Select the time zone from the list. These
options are optional. 3.
The configured parameters are displayed. Enter yes to commit the
configuration. The configuration is committed as the active configuration for the switch.
4.
(For EX4500 switches only) Enter the request chassis pic-mode
intraconnect operational mode command to set the PIC mode to intraconnect. Ahora ya puedes entrar por ssh, consola y por web. Reiniciar el switch por CLI Este es el comando root@PasquelMNVL> request system rebooto si quieren mas comandos que peude usar con request system solo escirben: root@PasquelMNVL> request system reboot ?
Vovler a la configuracion de fabrica de EX2200Nos conectamos por medio de consola y escribimos estos comandos ya estando adentro de la configuracion del switch: root> start shell root : root@:RE:0% cd /config/ root@:RE:0% rm -rf juniper.conf* root@:RE:0% cd /config/db/config root@:RE:0%rm -rf juniper.conf.* root@:RE:0%reboot
¿Como crear VLAN'S y asignar interfaces a la VLAN?1. [edit] root@prueba# edit vlans 2. [edit vlans] root@prueba# set "nombre_vlan" vland-id "numero_vlan"3. [edit vlans] root@prueba# commit4. [edit vlans] root@prueba# top5. [edit] root@prueba# edit interfaces6. [edit interfaces] root@prueba# set "nombre_interfaz" unit 0 family ethernet-switching vlan "nombre_vlan"
nota esto fue sacado de : http://community.tsares.net/viewtopic.php?f=7&t=116 Comandos Frecuentes JunOS por Luis Moreno JunOS Nombres de interfaces y puertos FPC --> Flexible PIC Controller PIC --> Physical Interface Controller ge-0/2/3 = port 3 of a Gigabit Ethernet PIC in slot 2 on FPC 0 Slot -> PIC -> Puerto La edición de comandos en el CLI de JunOS es del tipo EMACS en el mundo Linux ctrl + b un caracter atras (back) ctrl + f un caracter adelante (forward) ctrl + a inicio (start) ctrl + e end (end) ctrl + d elimina el caracter donde esta posicionado el cursor (delete) ctrl + k elimina caracteres desde donde esta posicionado el cursor al final de la línea (delete) ctrl + u desecha el comando actual, como ctrl+c en la línea de comandos de Linux ctrl + w elimina la palabra completa que esta a la izquierda del cursor (word) ctrl + p repite el comando anterior (previous) ctrl + n comando siguiente (next) ctrl + i complete completa el comando, como tabulador o espacio Descripción de interfaces de servicio (Services Interface) es: Encryption interfcae gr: Generic route encapsulation tunnerl interface ip: IP-ove-IP encapsulation tunnel interface ls: Link services interface mo: ive monitoring interface
mt: Multicast tunnerl interface sp: Adaptive services interface vt: Virtual loopback tunnel interface Otros nombres de interface lo0: Loopback interface ae: Aggregated Ethernet interface as: Aggregated SONET interface vlan: vLAN interface Interfaces internas que no son reconfigurables gre: mtun: ipip: tap: Las interfaces varian de acuerdo a la plataforma
/////////////////////////////////////////////////// Comandos \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ -- Ver s conectados lmoreno@miSRX> show system s -- Ver las conecciones del equipo como un netstat en linux lmoreno@miSRX> show system connections -- Forzar el (salida) de un , sacar de una sesión lmoreno@miSRX> request system lmoreno -- sacar al de sesión por medio de la terminal a la que esta conectodo lmoreno@miSRX> request system terminal p2
-- historial de comandos de la sesión actual lmoreno@miSRX> show cli history -- Solo muestra las líneas que hagan coincidencia show interfaces | match down -- También puede emplearse el comando grep como en unix/linux en lugar de match, mostrará el mismo resultado show interfaces | grep down -- cuenta las lineas que hagan coincidencia (o que coincidan) con down y Physical show interfaces | match down | match Physical | count -- Ayuda help reference system host-name -- Configuration para saltarse a la rama principal top edit protocols ospf up up 2 exit
**************************************** Manejo de configuraciones **************************************** Manejo de configuraciones -- Copiar configuraciónes desde un texto que se guardadá en el portapapeles se tienen las siguientes opciones load merge - Útil cuando estás agregando una nueva sección a la configuración existente. Si la configuración existente contiene enunciados que están en conflicto, los enunciados que vengan de la configuración que se esta pegando, sobreescribiran la configuaración actual.
load override - Reemplaza toda la configuración actual, con la nueva configuracion -- Para compiar configuración desde un archivo de textoel portapapeles, útil cuando se copia configuración guardada como backup en un archivo de texto o bien de un equipo a otro y se hace un restore, las opciones que hay son merge para mezclar la configuración actual con la que se va a copiar lmoreno@miSRX> configure Entering configuration mode [edit] lmoreno@miSRX# load merge terminal [Type ^D at a new line to end input]
Al finalizar la copia del texto de configuración presionar CTRL+D y -- Aplicar cambios y salir del modo configuración commit and-quit -- comparar cambios que no se han aplicado con un commit, show | compare rollback 0 show | compare (se puede cambiar el número de rollback para compararlo con otras configuraciónes) -- Aplicar cambios y regresar a la configuración anterior si no se confirma, es útil cuando se quiere tener la seguridad que los cambios no afectarán la producción o no se perderá istrativo al firewall, si estás configurando el firewall remotamente y el cambio que acabas de realizar te podría dejar sin . En este ejemplo son 10 minutos pero puede ser de 1 hasta 65535 (poco más de 45 días) [edit] lmoreno@miSRX# commit confirmed 10 -- Para buscar errores en la operación commit ver los detalles de lo que esta fallando commit | display detail
-- Para poner un comentario al guardar la configuración y tener una mejor referencia para futuras consultas commit comment "Esta config es la buena" -- Ver las configuraciones almacenadas o los rollbacks almacenados lmoreno@miSRX> show system commit -- salir del modo configuración sin guardar los cambios rollback -- Para recuperar una configuración anterior almacenada en los rollback, por ejemplo para recuperar el rollback número 6 y guardar los cambios y salir [edit] lmoreno@miSRX# rollback 6 load complete [edit] lmoreno@miSRX# commit and-quit -- Para guardar el número máximo de archivos en flash y rollback [edit] lmoreno@miSRX# set system max-configuration-rollbacks 49 [edit] lmoreno@miSRX# set system max-configurations-on-flash 49 -- Guardar configuración en un servidor remoto mediante s para hacer un respaldo backup, en modo de configuración teclear el comando: save s://@host/ruta/nombrearchivo ejemplo: [edit] lmoreno@miSRX# save s://[email protected]/home/lmoreno/junosbck/201002221638.config'
La configuración se guarda en texto claro en el destino lo cual es útil para revisarla pero tambien es inseguro, así que donde guardes la configuración debe ser un recurso que asegures para evitar que tus configuraciones esten expuestas. -- Guarda la configuración de rescate para que pueda ser usada en un futuro, request system configuration rescue save -- Borra la configuración actual de de rescate request system configuration rescue delete -- Automatizar respaldos (backups), el equipo enviará el respaldo a un servidor S remoto automáticamente cada vez que se aplique un commit, tambien puede ser modificado para usar ftp en lugar de s, tan solo con cambiar s por ftp en el comando. lmoreno@miSRX> configure Entering configuration mode [edit] lmoreno@miSRX# edit system archival [edit system archival] lmoreno@miSRX# set configuration archive-sites "s://[email protected]/home/lmoreno/junosbckauto" miw0rd! The authenticity of host '192.168.16.50 (192.168.16.50)' can't be established. RSA key fingerprint is c0:30:25:65:33:41:77:76:25:7d:66:e9:9d:4f:23:f7. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '192.168.16.50' (RSA) to the list of known hosts. [edit system archival] lmoreno@miSRX# set configuration transfer-on-commit [edit system archival] lmoreno@miSRX# commit and-quit commit complete Exiting configuration mode
-- Para monitorear las transferencias de configuración automáticas lmoreno@miSRX> show log messages | match transfer
**************************************** FIN Manejo de configuraciones **************************************** FIN Manejo de configuraciones -- ver interfaces en modo resumido show interface terse -- ver el log sh log messages -- monitorear el log solo los ultimos eventos como tail en linux monitor start filename monitor start messages - para detener monitor stop messages -- hacer filtros a los comandos log show log messages | match " info" show log messages | find "Apr 1 09:" | match error show log messages | match "error|kernel|panic" show log messages | match ge-0/0/0 | match snmp -- Crear de modalidad operador con un simple de texto [edit] lmoreno@miSRX# set system nuevo uid 2002 class operator authentication plain-text- New : Retype new : -- ver los permisos de los s
sh config system
-- Cambiar el de un [edit] lmoreno@miSRX# set system lmoreno authentication plain-text- New : Retype new : -- conectarse por ftp, cambiarse al folder local /cf/var/tmp y descargar el archivo de firmware junos-srxsme-9.6R1.13-domestic.tgz ftp 192.168.16.1 lcd /var/tmp para cambiar a /cf/var/tmp get ejemplo get junos-srxsme-9.6R1.13-domestic.tgz
-- Crear zona y agregar interface a zona set security zones security-zone untrust interfaces fe-0/0/6 -- Crear una ruta estática hacia un proveedor de internet ISP en este caso 8.8.8.8 con mascara de 29 bits, [edit routing-options] lmoreno@miSRX# set static route 0/0 next-hop 2.1.1.1 0/0 = 0.0.0.0/0 o cualquier IP
-- Cambiar velocidad y configuración duplex, en modo configuración set interfaces ge-0/0/0 link-mode half-duplex
set interfaces ge-0/0/0 speed 100m -- Habilitar ping para una interface en la zona trust [edit] lmoreno@miSRX# set security zones security-zone trust interfaces ge-0/0/0 host-inboundtraffic system-services ping -- Ajustar la hora del sistema lmoreno@miSRX> configure Entering configuration mode [edit] lmoreno@miSRX# edit system [edit system] lmoreno@miSRX# set time-zone America/Mexico_City [edit system] lmoreno@miSRX# run set date 201002231712.25 (aquí va en formato YYYYMMDDhhmm.ss) Tue Feb 23 17:12:25 CST 2010 [edit system] lmoreno@miSRX# commit commit complete -- Ver la hora actual del sistema y el tiempo que ha estado operando lmoreno@miSRX> show system uptime -- El poder de Junos para filtrar información es excelente por ejemplo para ver los logs y filtrar los resultados por ejemplo ver quien apagó el equipo o quién intento entrar con un o inválido lmoreno@miSRX> show log messages | match power-down lmoreno@miSRX> show log messages | match "Failed "
-- Es posible usar terminos y combinarlos para tener opciones tipo AND por ejemplo para buscar los eventos del día 23 de febrero y que tienen que ver con s fallidos y que son de una IP especifica y que intentaron entrar con root lmoreno@miSRX> show log messages | find "Feb 23" | match 192.168.16.59 | match root -- Para opciones de tipo OR por ejemplo ver los mensajes que incluyan las palabras error o kernel o panic lmoreno@miSRX> show log messages | match "error|kernerl|panic" -- Para monitorear los mensajes en tiempo real lmoreno@miSRX> monitor start messages lmoreno@miSRX> *** messages *** Feb 23 18:20:34 miSRX sshd[4199]: Failed for sandwich from 192.168.16.59 port 13170 ssh2 Feb 23 18:20:39 miSRX sshd[4199]: Failed for sandwich from 192.168.16.59 port 13170 ssh2 Para detener e iniciar salida syslog presionar Esq + q -- Limpiar log o tracefile clear log nombre-de-archivo -- Para borrar archivo log o tracefile file delete nombre-de-archivo -- Habilitar SNMP para monitoreo lmoreno@miSRX> configure Entering configuration mode [edit] lmoreno@miSRX# edit snmp [edit snmp]
lmoreno@miSRX# set description "miSRX" [edit snmp] lmoreno@miSRX# set location "Site Principal" [edit snmp] lmoreno@miSRX# set "Luis Moreno x15005" [edit snmp] lmoreno@miSRX# set community MiComunidad authorization read-only clients 192.168.16.64/32 [edit snmp] lmoreno@miSRX# set trap-group miGrupodetraps version v2 categories chassis link startup authentication configuration [edit snmp] lmoreno@miSRX# set trap-group miGrupodetraps targets 192.168.16.64 La configuración final quedaría así: [edit snmp] lmoreno@miSRX# show description miSRX; location "Site Principal"; "Luis Moreno x15005"; community MiComunidad { authorization read-only; clients { 192.168.16.64/32; } } trap-group miGrupodetraps { version v2; categories {
authentication; chassis; link; startup; configuration; } targets { 192.168.16.64; } } -- Ver temperatura estado de ventiladores show chassis environment -- Ver temperatura utilización de memoria, U show chassis routing-engine -- Ver detalles sobre los componentes de hardware, número de serie, etc. show chassis hardware -- Instalar licencias directamente desde servidores Juniper request system license update -- Ver el estado de las licencias, licencias instaladas show system licence -- Ver el número de sesiones máximo para el dispositivo lmoreno@miSRX> show security flow session summary
-- Ver la tabla arp show arp
-- Eliminar el al cli mediante telnet por ser un protocolo inseguro, en modo de configuración: delete security zones security-zone trust interfaces ge-0/0/0 host-inbound-traffic systemservices telnet
**************************************** Security Policies / Políticas de Firewall **************************************** Security Policies / Políticas de Firewall -- Ver configuración de la política de la zona untrust a la zona trust show security policies detail from-zone untrust to-zone trust
-- Configurar Horarios para ser aplicados a políticas, por ejemplo se puede crear un scheduler para que durante horas de oficina no se pueda acceder a sitios de redes sociales. Para configurar un scheduler (horario) empleando el CLI: 1.- Para crear un horario que va de las 8 AM a las 9 PM todos los días de la semana, que inicia en Marzo 1 2010 hasta Abril 1, 2011, exepto sábado y domingo. lmoreno@miSRX# set schedulers scheduler horario1 start-date 2010-03-01.08:00 stopdate 2011-04-01.21:00 lmoreno@miSRX# set schedulers scheduler horario1 saturday exclude lmoreno@miSRX# set schedulers scheduler horario1 sunday exclude 2.- El siguiente comando asocia el schedule a la política, permitiendo durante horas de oficina. lmoreno@miSRX# set security policies from-zone trust to-zone untrust policy horas-deoficina scheduler-name horario1
**************************************** FIN Security Policies / Políticas de Firewall
**************************************** FIN Security Policies / Políticas de Firewall
**************************************** SCREEN Options **************************************** SCREEN Options -- Ver las opciones de SCREEN configuradas en el objeto untrust-screen lmoreno@miSRX> show security screen ids-option untrust-screen -- Ver las estadísticas de SCREEN en la interfaz untrust lmoreno@miSRX> show security screen statistics zone untrust -- Ver en el log los mensajes que coinciden con las opciones de SCREEN lmoreno@miSRX> show log messages | match RT_SCREEN
**************************************** FIN SCREEN Options **************************************** FIN SCREEN Options **************************************** Intrusion Detection and Prevention (IDP) **************************************** Intrusion Detection and Prevention (IDP) -- Para poder descargar actualizaciones de Juniper es necesario contar con una licencia válida, para checar las licencias instaladas en el equipo lmoreno@miSRX> show system license -- Para descargar las actualizaciones de IDP una vez que se confirmó la existencia de una licencia lmoreno@miSRX> request security idp security-package full-update -- Verificar el estado de la transferencia lmoreno@miSRX> request security idp security-package status -- Para instalar una base de datos de IDP que se descargó
lmoreno@miSRX> request security idp security-package install -- Verificar el estado de la instalación lmoreno@miSRX> request security idp security-package install status -- Ver la versión de la base de datos de IDP lmoreno@miSRX> show security idp security-package-version -- Ver la versión de la base de datos de IDP del servidor de Juniper, útil para verificar conectividad con el servidor y comparar contra la versión instalada lmoreno@miSRX> request security idp security-package check-server -- Instalar la política "Recommended IDP policy" que es una política genérica que puede ser útil en la mayoría de los casos lmoreno@miSRX> request security idp security-package policy-templates Will be processed in async mode. Check the status using the status checking CLI -- Verificar el estado de la descarga lmoreno@miSRX> request security idp security-package status In progress:ing file ...templates.xml.gz lmoreno@miSRX> request security idp security-package status Done;Successfully ed from(https://services.netscreen.com/cgi-bin/index.cgi). Version info:2 -- Instalar el template de política lmoreno@miSRX> request security idp security-package install policy-templates Will be processed in async mode. Check the status using the status checking CLI -- Verificar el estado de la instalación del template lmoreno@miSRX> request security idp security-package install status Done;policy-templates has been successfully updated into internal repository (=>/var/db/scripts/commit/templates.xsl)! -- Activar el script de template y aplicar los cambios con commit
lmoreno@miSRX> edit Entering configuration mode [edit] lmoreno@miSRX# set system scripts commit file templates.xsl [edit] lmoreno@miSRX# commit -- Verificar si el policy template existe en la configuración [edit] lmoreno@miSRX# edit security idp [edit security idp] lmoreno@miSRX# set active-policy ? Possible completions: Set active policy Recommended -- Configurar la política de IDP Recommended como la política activa [edit security idp] lmoreno@miSRX# set active-policy Recommended -- Desactivar el "commit script" para que no sobre-escriba las modificaciones que se le hagan al template. [edit system scripts commit] lmoreno@miSRX# deactivate file templates.xsl -- Ver el contenido o las políticas del template Recommended [edit security idp] lmoreno@miSRX# show idp-policy Recommended -- Para eliminar una regla del template Recommended (u otro que se desee) por ejemplo la regla 5
[edit security idp] lmoreno@miSRX# delete idp-policy Recommended rulebase-ips rule 5 -- Aplicar idp a política existente [edit security policies from-zone untrust to-zone miDMZ policy dst-nat-web] lmoreno@miSRX# set then permit application-services idp [edit security policies from-zone untrust to-zone miDMZ policy dst-nat-web] lmoreno@miSRX# commit commit complete -- Monitorear la operación del IDP lmoreno@miSRX> show security policies policy-name dst-nat-web detail Policy: dst-nat-web, action-type: permit, State: enabled, Index: 8 Sequence number: 1 From zone: untrust, To zone: dsDMZ Source addresses: any: 0.0.0.0/0 Destination addresses: webserver: 10.2.77.2/32 Application: junos-http IP protocol: t, ALG: 0, Inactivity timeout: 1800 Source port range: [0-0] Destination port range: [80-80] Intrusion Detection and Prevention: enabled Unified Access Control: disabled -- Monitorear el status (estado) del IDP y estadísticas lmoreno@miSRX> show security idp status Status of IDP: s0, Up since: 2010-03-16 12:06:06 CST (1w0d 07:41 ago) Packets/second: 0 Peak: 0 @ 2010-03-16 12:06:06 CST KBits/second : 0 Peak: 0 @ 2010-03-16 12:06:06 CST Latency (microseconds): [min: 0] [max: 0] [avg: 0]
Packet Statistics: [ICMP: 0] [T: 0] [UDP: 0] [Other: 0] Flow Statistics: ICMP: [Current: 0] [Max: 0 @ 2010-03-16 12:06:06 CST] T: [Current: 0] [Max: 0 @ 2010-03-16 12:06:06 CST] UDP: [Current: 0] [Max: 0 @ 2010-03-16 12:06:06 CST] Other: [Current: 0] [Max: 0 @ 2010-03-16 12:06:06 CST] Session Statistics: [ICMP: 0] [T: 0] [UDP: 0] [Other: 0] Policy Name : Recommended v0 Running Detector Version : 10.3.160100209 -- Mostrar los contadores del IDP lmoreno@miSRX> show security idp counters ? Possible completions: application-identification Show Application Identification counters dfa Show IDP DFA counters flow Show IDP Flow counters ips Show IPS counters log Show IDP Log counters packet Show IDP Packet counters policy-manager Show IDP Policy counters t-reassembler Show IDP Reassembler counters -- Monitorear el uso de memoria del IDP lmoreno@miSRX> show security idp memory IDP data plane memory statistics: Total IDP data plane memory : 188 MB Used : 7 MB ( 7168 KB ) Available : 181 MB ( 185344 KB )
-- Monitoreo mediante logs, es posible enviar un log si ocurre un ataque y el IDP lo detecte con el comando [edit security idp idp-policy Recommended rulebase-ips rule 1] lmoreno@miSRX# set then notification log-attacks [edit security idp] lmoreno@miSRX# set traceoptions flag all **Los logs se guardan en /var/log/idpd -- Para ver los logs de idp lmoreno@miSRX> show log idpd -- Para ver los grupos de ataques predeterminados (predefined attack group) en el IDP lmoreno@miSRX> file show /var/db/idpd/sec-repository/attack-group.list -- Para filtrar un un grupo en especifico por ejemplo P2P ejecuta el siguiente comando lmoreno@miSRX> file show /var/db/idpd/sec-repository/attack-group.list | grep p2p | nomore
**************************************** FIN Intrusion Detection and Prevention (IDP) **************************************** FIN Intrusion Detection and Prevention (IDP)
**************************************** Web Filtering **************************************** Web Filtering Configurar Integrated Web Filtering con whitelist y blacklist y perfil por default junos-wfa-default
Con esta configuración configurarás tu SRX para que puedas emplear el Web Filtering integrado con SurfControl y podrás emplear listas blancas para dar a páginas que desees excluir del filtrado e incluir otras que no esten siendo filtradas pero por su naturaleza no te convenga tenerlas habilitadas. Los comandos para objetos personalizados de Web Filtering son: Para configurar un Web Filtering local usando el CLI, primero debes crear objetos personalizados (custom objects) a) Configura un URL pattern list (lista de patrones URL) creando un nombre de lista (list name) y agregando valores como se muestra a continuación. [edit] lmoreno@miSRX# set security utm custom-objects url-pattern lista01-url value [http://www.playboy.com] lmoreno@miSRX# set security utm custom-objects url-pattern lista02-url value [http://www.penthouse.com] Se pueden usar wildcards como sigue: \*\.[]\?* y debes preceder todos los wildcards con http:// Solo puedes usar "*" si se encuentra al inicio del URL y esta seguido por un punto "." y solo puedes usar "?" si se encuentra al final del URL La siguiente sintaxis es soportada: http://*.juniper.net, http://www.juniper.ne?,http://www.juniper.n?? Lo siguiente no es soportado: *.juniper.net, http://www.juniper.ne?,http://*juniper.net, http://* b) Configurar una lista de categoría URL personalizada empleando el pattern list que se creó [edit] lmoreno@miSRX# set security utm custom-objects custom-url-category categoria-url01 value lista01-url lmoreno@miSRX# set security utm custom-objects custom-url-category categoria-url02 value lista02-url
Ahora que los objetos personalizados han sido creados, puedes configurar el perfil de Web filtering llamado surf-control-integrated 1.- Si estás usando las categorias whitelist y blacklist que se incluyen, selecciona esas categorías globales. Estas son las primeras categoría que tanto la integrated, redirect y local emplean. Si no se encuentra coincidencia en estas listas se envía el URL al servidor de SurfControl. Ejemplos para agregar al Withelist y Blacklist: [edit] lmoreno@miSRX# set security utm feature-profile web-filtering url-blacklist categoriaurl01 lmoreno@miSRX# set security utm feature-profile web-filtering url-whitelist categoriaurl02 2.- Selecciona surf-control-integrated como tu Web Filtering engine como sigue: [edit] lmoreno@miSRX# set security utm feature-profile web-filtering surf-control-integrated 3.- Establece el tamaño del cache para el perfil surf-control-integrated (500 Kb es el default) [edit] lmoreno@miSRX# set security utm feature-profile web-filtering surf-control-integrated cache size 1000 4.- Establece el timeout (tiempo de vida) para el cache máximo 1800 segundos [edit] lmoreno@miSRX# set security utm feature-profile web-filtering surf-control-integrated cache timeout 1800 5.- Define la política UTM para HTTP (web-filter) y anexa esta política al perfil predefinido junos-wf-a-default [edit] lmoreno@miSRX# set security utm utm-policy web-filter web-filtering http-profile junos-
wf-a-default 6.- Aplica la política UTM a la política de la zona trust hacia la zona untrust y establece los servicios que se permitiran [edit] lmoreno@miSRX# set security policies from-zone trust to-zone untrust policy web-filter match source-address any lmoreno@miSRX# set security policies from-zone trust to-zone untrust policy web-filter match destination-address any lmoreno@miSRX# set security policies from-zone trust to-zone untrust policy web-filter match application junos-http lmoreno@miSRX# set security policies from-zone trust to-zone untrust policy web-filter then permit application-services utm-policy web-filter [edit security utm] lmoreno@miSRX# show custom-objects { url-pattern { lista02-url { value [ http://www.penthouse.com ]; } lista01-url { value http://www.playboy.com; } } custom-url-category { categoria-url01 { value lista01-url; } categoria-url02 { value lista02-url; } } } feature-profile {
web-filtering { url-whitelist categoria-url02; url-blacklist categoria-url01; type surf-control-integrated; surf-control-integrated { cache { timeout 1800; size 1000; } } } } utm-policy web-filter { web-filtering { http-profile junos-wf-a-default; } }
lmoreno@miSRX# show policies from-zone trust to-zone untrust policy web-filter { match { source-address any; destination-address any; application junos-http; } then { permit { application-services { utm-policy web-filter; } } } }
--> Monitorear el Web Filtering -- Para ver el estado del web filtering lmoreno@miSRX> show security utm web-filtering status UTM web-filtering status: Server status: SC-A server up -- Para ver las estadísticas del web filtering lmoreno@miSRX> show security utm web-filtering statistics UTM web-filtering statistics: Total requests: 646 white list hit: 77 Black list hit: 4 Queries to server: 516 Server reply permit: 486 Server reply block: 30 Custom category permit: 0 Custom category block: 0 Cache hit permit: 13 Cache hit block: 36 Web-filtering sessions in total: 4000 Web-filtering sessions in use: 1 Fall back: log-and-permit block Default 0 0 Timeout 0 0 Connectivity 0 0 Too-many-requests 0 0
-- Solución de problemas de Web Filtering (Troubleshooting) Las siguientes opciones se emplean para solucionar problemas de web filtering: lmoreno@miSRX# set security traceoptions flag all lmoreno@miSRX# set security utm traceoptions flag all lmoreno@miSRX# set security utm application-proxy traceoptions flag all
lmoreno@miSRX# set security utm feature-profile web-filter traceoptions flag all Las opciones de trace o rastreo se pueden ver en el siguiente log: lmoreno@miSRX# show log utmd-wf -- Para ver la configuración del perfil por default para web filtering, ejecutar el siguiente comando lmoreno@miSRX> show configuration groups junos-defaults security utm feature-profile web-filtering -- También es posible configurar un perfil personalizado con diferente comportamiento que el default y quedaría más o menos de la siguiente forma: [edit security utm] lmoreno@miSRX# show custom-objects { url-pattern { negra-lista01 { value [ http://*.facebook.com http://*.penthouse.com ]; } blanca-lista01 { value http://www.playboy.com; } } custom-url-category { blanca-categoria01 { value blanca-lista01; } negra-categoria01 { value negra-lista01; } } } feature-profile {
web-filtering { url-whitelist blanca-categoria01; url-blacklist negra-categoria01; type surf-control-integrated; surf-control-integrated { cache { timeout 1800; size 1000; } profile bloqueo-seleccionado { category { Adult_Sexually_Explicit { action block; } ments { action block; } Criminal_Skills { action block; } Drugs_Alcohol_Tobacco { action block; } Gambling { action block; } Hacking { action block; } Hate_Speech { action block; } Personals_Dating { action log-and-permit; }
Remote_Proxies { action block; } Sex_Education { action log-and-permit; } Violence { action block; } Weapons { action block; } } default permit; custom-block-message "El sitio solicitado no parece ser un sitio relacionado al negocio, favor de ar a soporte técnico ext 199"; } } } } utm-policy web-filter { web-filtering { http-profile junos-wf-a-default; } } utm-policy wf-bloqueo-personalizado { web-filtering { http-profile bloqueo-seleccionado; } }
**************************************** FIN Web Filtering
**************************************** FIN Web Filtering
**************************************** Security NAT **************************************** Security NAT +++++++++++ Destination NAT con PAT - como un port forwarding o mapeo de puertos en SRX210 para publicar un servidor Web al mundo exterior IP pública: 2.1.1.100 puerto 80 IP interna: 10.1.1.100 puerto 8000 set security nat proxy-arp interface ge-0/0/0.0 address 2.1.1.100 set security nat destination pool dnat-pool-web address 10.1.1.100 port 8000 set security nat destination rule-set dst-nat-web from zone untrust set security nat destination rule-set dst-nat-web rule r1 match destination-address 2.1.1.100 set security nat destination rule-set dst-nat-web rule r1 then destination-nat pool dnatpool-web set security zones security-zone trust address-book address webserver 10.1.1.100 set applications application http-8000 protocol t destination-port 8000 set security policies from-zone untrust to-zone miDMZ policy dst-nat match sourceaddress any destination-address webserver application http-8000 set security policies from-zone untrust to-zone miDMZ policy dst-nat then permit ----> así se ve la configuración desde modo de edición --> Destination NAT pool y rule-sets [edit security nat destination] lmoreno@miSRX# show pool dnat-pool-web { address 10.1.1.100/32 port 8000; } rule-set dst-nat-web { from zone untrust;
rule r1 { match { destination-address 2.1.1.100/32; } then { destination-nat pool dnat-pool-web; } } }
--> Proxy-arp [edit security nat] lmoreno@miSRX# show ...Configuración extra omitida... } proxy-arp { interface ge-0/0/0.0 { address { 2.1.1.100/32; } } }
--> Aplicación en puerto 8000 [edit applications] lmoreno@miSRX# show application http-8000 { protocol t; destination-port 8000; }
--> Addressbook en zona miDMZ [edit security zones security-zone miDMZ] lmoreno@miSRX# show address-book { address webserver 10.1.1.100/32; }
--> Política [edit security policies from-zone untrust to-zone miDMZ] lmoreno@miSRX# show policy dst-nat-web { match { source-address any; destination-address webserver; application http-8000; } then { permit; } }
+++++++++++ FIN Destination NAT con PAT - como un port forwarding o mapeo de puertos en SRX210 para publicar un servidor Web al mundo exterior
-- Crear una nueva aplicación protocolo t puerto 22 y un timeout de 3600 segundos lmoreno@miSRX> edit lmoreno@miSRX# set applications application my-ssh protocol t lmoreno@miSRX# set applications application my-ssh destination-port 22 lmoreno@miSRX# set applications application my-ssh inactivity-timeout 3600
lmoreno@miSRX> edit lmoreno@miSRX# set applications application RDP protocol t lmoreno@miSRX# set applications application RDP destination-port 3389
-- Ver las aplicaciones por default o "application sets" por ejemplo junos-http, junos-ssh, junos-https, junos-telnet, junos-ftp, etc. lmoreno@miSRX> show configuration groups junos-defaults applications +++++++++++ Source NAT para salida a Internet -- Para realizar un source NAT (para que las PCs de la red interna tengan salida a Internet) de la zona trust a la zona untrust ejecuta los siguientes 4 comandos, para que el NAT funcione ya deberan estar creadas las zonas y deberá existir una ruta estática hacia el proveedor de Internet. lmoreno@miSRX> configure lmoreno@miSRX# set security nat source rule-set interface-nat from zone trust lmoreno@miSRX# set security nat source rule-set interface-nat to zone untrust lmoreno@miSRX# set security nat source rule-set interface-nat rule regla1 match sourceaddress 0.0.0.0/0 destination-address 0.0.0.0/0 lmoreno@miSRX# set security nat source rule-set interface-nat rule regla1 then sourcenat interface +++++++++++ FIN - Source NAT para salida a Internet -- Ver configuración de un pool lmoreno@miSRX> show security nat destination pool -- Ver configuración de la política y cuantas veces ha sido traducida lmoreno@miSRX> show security nat destination rule all lmoreno@miSRX> show security nat source rule all -- Ver configuración del destination nat y cuantas veces ha sido traducida lmoreno@miSRX> show security nat destination summary
-- Monitorear las sesiones del destination nat con IP pública 2.1.1.100 lmoreno@miSRX> show security flow session destination-prefix 2.1.1.100 **************************************** FIN Security NAT **************************************** FIN Security NAT **************************************** Ruteo **************************************** Ruteo -- Ver las rutas actuales (tabla de ruteo) show route -- Ver por que ruta sale hacia una dirección en especifico show route 192.168.16.1 -- Ver una ruta que coincida exactamente show route 192.168.16.1 exact -- Ver mayor información de la ruta en cuestión show route 192.168.16.1 extensive -- Ver el forwarding table show route forwarding-table -- Descripción de registros del forwarding table dest: Direcciones remotas son directamente alcanzables a través de una interface intf: Instalada como resultado de configurar una interface perm: Rutas instaladas por el kernel cuando la tabla de ruteo inicializa : Rutas instaladas por el proceso routing protocol como resultado de una configuración -- Descripción de tipos asociados con next-hops (siguiente salto) bcst: Broadcast dscd: Discard - Descarta silenciosamente sin enviar un paquete ICMP unreachable
(inalcanzable) hold: En espera - Next hop esta esperando resolver entre unicast y multicast locl: Local - Dirección local en una interface msct: Wire multicast next hop (limitado a la LAN) mdsc: Multicast Discard - Rechazo Multicast recv: Receive - Recepción, recibir rjct: Reject - Descarta y envía un mensaje ICMP unreachable ucst: Unicast ulst: Unicast List - Lista de Unicast next hops empleados cuando se configura load balancing (balanceo de cargas) -- Ver instancias de ruteo configuradas show route instance -- Instancias de ruteo (routing instances) definidas por el **************************************** FIN Ruteo **************************************** FIN Ruteo
************************ ///////////////////////////////////////
Troubleshooting flow SRX Options * Mark as New * Bookmark * Subscribe * * Subscribe to RSS Feed
* * Highlight * Print * Email to a Friend * * Report Inappropriate Content 10-27-2008 02:01 AM Troubleshooting flow
trust-zone 10.1.2.1/24 1.1.1.3/24 untrust-zone PC==========DUT==========SERVER ge-0/0/1 ge-0/0/0 Flow debugging can be enabled as a traceoptions file in JUNO-ES. The traceoption file can be the viewed at the later time or in real time. An example commands to enable debug and create traceoption file . The file is stored under /var/logs/ directory [edit] root@sunnyvale# set security flow traceoptions file flow-trace root@sunnyvale# set security flow traceoptions flag all In this example, “flow-trace” is the filename To view the file [edit] root@sunnyvale# run file show /var/log/flow-trace or run show log flow-trace To view in real time
[edit] root@sunnyvale# monitor start flow-trace To clear the logs root@sunnyvale# run clear log flow-trace
Creating flow filters: Flow filters can be created to match 1. Source IP address 2. Source Port 3. Destination IP address 4. Destination port 5. Protocol 6. interface
Configuring flow filter [edit] root@sunnyvale# set security flow traceoptions packet-filter f0 destination-port 80 destination-prefix 1.1.1.1/32 In this example “ f0” is the name of the filter ************************ ///////////////////////////////////////
**************************************** Manejo de logs **************************************** Manejo de logs -- Para copiar un archivo de log a otro equipo fuera del Firewall
root@miSRX> start shell root@miSRX% s miflow* [email protected]'s : miflow 100% 56KB 56.5KB/s 00:00 miflow.0.gz 100% 4325 4.2KB/s 00:00 miflow.1.gz 100% 9855 9.6KB/s 00:00 root@miSRX% Como se puede apreciar se copiaron tres archivos a un host remoto en este caso con la IP: 192.168.16.20 -- Ver el espacio usado en el dispositivo SRX root@miSRX> show system storage detail Filesystem 1024-blocks Used Avail Capacity Mounted on /dev/da0s1a 919988 242874 603516 29% / devfs 1 1 0 100% /dev devfs 1 1 0 100% /dev/ /dev/md0 488002 488002 0 100% /junos /cf 919988 242874 603516 29% /junos/cf devfs 1 1 0 100% /junos/dev/ procfs 4 4 0 100% /proc /dev/bo0s1e 25004 126 22878 1% /config /dev/md1 171862 13794 144320 9% /mfs /dev/da0s1f 62316 1082 56250 2% /cf/var/log /cf/var/jail 919988 242874 603516 29% /jail/var devfs 1 1 0 100% /jail/dev /dev/md2 40110 4 36898 0% /mfs/var/run/utm
-- Limpiar logs root@miSRX> request system storage cleanup List of files to delete:
Size Date Name 355B Mar 17 19:08 /cf/var/jail/tmp/events-table.txt 70B Mar 26 18:16 /cf/var/jail/tmp/jweb-s.xml 113B Mar 22 18:05 /cf/var/jail/tmp/sess_c7eabedffaf83185500872d4b9d80b74df0249ab 10.6K Mar 16 17:33 /cf/var/log/flow-trace.0.gz 12.0K Mar 16 17:32 /cf/var/log/flow-trace.1.gz 173B Mar 23 19:03 /cf/var/log/idpd.addver 1764B Mar 19 22:50 /cf/var/log/idpd_err.20100319 588B Mar 23 19:01 /cf/var/log/idpd_err.20100323 180B Feb 16 03:19 /cf/var/log/idpinfo_err.20100216 180B Feb 17 01:33 /cf/var/log/idpinfo_err.20100217 180B Mar 17 19:12 /cf/var/log/idpinfo_err.20100317 360B Mar 23 19:50 /cf/var/log/idpinfo_err.20100323 121B Mar 29 16:57 /cf/var/log/interactive-commands.0.gz 9278B Mar 29 16:57 /cf/var/log/messages.0.gz 127.6K Feb 22 20:00 /cf/var/log/messages.1.gz 138.1K Feb 22 10:00 /cf/var/log/messages.2.gz 4325B Mar 29 16:10 /cf/var/log/miflow.0.gz 9855B Mar 29 16:08 /cf/var/log/miflow.1.gz 3403B Mar 16 12:05 /cf/var/tmp/cleanup-pkgs.log 36.4K Mar 17 19:08 /cf/var/tmp/event_tags.php 124.0K Feb 22 21:13 /cf/var/tmp/gres-tp/env.dat 0B Feb 16 00:51 /cf/var/tmp/gres-tp/lock 4B Mar 16 12:06 /cf/var/tmp/idp_license_info 76B Mar 16 12:07 /cf/var/tmp/krt_gencfg_filter.txt 1424B Mar 16 12:07 /cf/var/tmp/sampled.pkts 0B Feb 16 00:49 /cf/var/tmp/spu_kmd_init Delete these files ? [yes,no] (no) yes
**************************************** FIN Manejo de logs **************************************** FIN Manejo de logs
**************************************** Configuración SNMP **************************************** Configuración SNMP -- Configuración de SNMP en Juniper SRX La siguiente configuración configura SNMP para que solo envié paquetes a la IP 192.168.16.64 y estos paquetes son solo de lectura y la interfaz autorizada es la ge-0/0/0 [edit] lmoreno@miSRX# set snmp location CDCIII lmoreno@miSRX# set snmp "[email protected]" lmoreno@miSRX# set snmp community DSSOL3 authorization read-only lmoreno@miSRX# set security zones security-zone trust interfaces ge-0/0/0 host-inboundtraffic system-services snmp lmoreno@miSRX# set snmp community DSSOL3 clients 192.168.16.64 lmoreno@miSRX# set snmp community DSSOL3 clients 0.0.0.0/0 restrict -- Se pueden realizar varias consultas a la base snmp desde el mismo dispositivo con los siguientes comandos: lmoreno@miSRX> show snmp mib walk jnxMibs lmoreno@miSRX> show snmp mib walk jnxOperatingDescr jnxOperatingDescr.1.1.0.0 = midplane jnxOperatingDescr.4.1.0.0 = SRX210 Chassis fan jnxOperatingDescr.7.1.0.0 = FPC: FPC @ 0/*/* jnxOperatingDescr.8.1.1.0 = PIC: 2x GE, 6x FE, 1x 3G @ 0/0/* jnxOperatingDescr.9.1.0.0 = Routing Engine jnxOperatingDescr.9.1.1.0 = USB Hub -- Desde Linux con el comando snmpwalk también es posible hacer consultas snmp, siempre y cuando la máquina Linux este autorizada en el SRX. snmpwalk -v 2c -Ob -c public nombredelsrxaqui 1.3.6.1.4.1.2636.3 **************************************** FIN Configuración SNMP
**************************************** FIN Configuración SNMP
**************************************** Manejo de procesos **************************************** Manejo de procesos Para reiniciar un proceso primero ver que procesos se están ejecutando con el comando lmoreno@miSRX> show system processes extensive Ahora filtraremos nuestro proceso especifico que deseamos reiniciar en este caso reiniciaremos el servicio utmd que es responsable de manejar el web filtering, IDS, etc. -- Ver un proceso especifico lmoreno@miSRX> show system processes extensive | grep utmd -- Reiniciar el proceso, primero se deberá emplear la opción gracefully para darle oportunidad al proceso de limpiar archivos, memoria, etc, en caso de que el proceso no pueda reiniciarse gracefully, usar immediately lmoreno@miSRX> restart utmd gracefully UTM Daemon started, pid 32840
Comandos: Muestra los usuraios que existen el sistema root>show system s Detalla tema o protocolos root>help reference ? Entrar al modo de configuracion root>configure
Enlista el estado de cada interface root> show interface terse Mostrar la configuracion de todas las interfaces root# show interfaces Mostrar la configuracion de una intefaces en especifico root# show interfaces ge-0/0/0 Editar la configuracion de una interface root# edit intefaces ge-0/0/0 Moverse de nivel herarquico y estar en modo de configuracion del protocolo root# top edit protocols ospf Subir nivel principal root# top Eejecutar un comando en modo configuracion root# run
Ver la informacion del hardware que tiene instalado el switch, en modo de configuracion: root# run show chassis hardware Salir del modo de configuracion root# exit Mostrar y compara configuraicones anteriores root# show | compare rollback 0
nota: el numero "0" es el numero de Muestra los servicios levantas en el switch root# show services Muestra el status del servicio de ftp root# show services ftp nota: este servicio es un ejemplo ya que sino esta activado nos parecera un error. Guardar la configuracion root# commit Copiar configuracion de interfaces root# copy ge-0/0/6 to ge-0/0/7 Activar o desctivar una inteface root# set ge-0/0/1 disable root# delete ge-0/0/1disable
MODO CLI Cuando nos conectamos en el puerto consola nos parece esto: root@RE:0%_ Es aqui el prompt principal para empezar a trabajar con el equipo, lo primero que debemos de hacer es teclear esto: CLI Ahora como observan cambia el promt y queda asi: @host> Si no tan el promt en el final de toda la linea aparece el caracter ">" eso quiere decir que entramos al equipo no a la configuracion como tal. Para entrar al modo de configuracion del equipo solo basta con escribir este comando: Configure Ahora noten que el promp ya cambio: @host# noten que el simbolo ">" ahora paso a ser "#" eso nos idica que ya estamos en el modo de configuracion y podemos empezar a trabajar con el equipo. Para poder salir del comodo de configuracion y aplicar los cambios es de la de siguiente manera: commit and-quitAhora si queremos salir de todo solo escribimos: exit
Iniciar el instalador para la confiuracion minima del switchNos conectamso por consola y escribimos lo sigueinte: root@:RE:0% ezsetup Y en seguida aparece estos mensajes: 1. Enter the hostname. This is optional. (Aqui ponemos el nombre del switch) 2. Enter the root you plan to use for this device. You are prompted to re-enter the root .(Aqui nos pide que ingresemla contraseña para ingresar como root) 3. Enter yes to enable services like Telnet and SSH. By default, Telnet is not enabled and SSH is enabled.(Nos pide que si queremos habilitar el telnet y el ssh por default telnet esta desahbilitado y ssh se habilita para mayor seguridad) 1. Note: When Telnet is enabled, you will not be able to to an EX Series switch through Telnet using root credentials. Root is allowed only for SSH access. Use the Management Options page to select the management scenario: Note: On EX4500 and EX8200 switches, only the out-of-band management option is available.
Configure in-band management. In this scenario you have the following two
options:
Use the default VLAN. Create a new VLAN—If you select this option, you are prompted to specify the VLAN name, VLAN ID, management IP address, and default gateway. Select the ports that must be part of this VLAN.
Configure out-of-band management. Specify the IP address and gateway of the
management interface. Use this IP address to connect to the switch. 1.
Specify the SNMP Read Community, Location, and to configure
SNMP parameters. These parameters are optional. 2.
Specify the system date and time. Select the time zone from the list. These
options are optional. 3.
The configured parameters are displayed. Enter yes to commit the
configuration. The configuration is committed as the active configuration for the switch.
4.
(For EX4500 switches only) Enter the request chassis pic-mode
intraconnect operational mode command to set the PIC mode to intraconnect. Ahora ya puedes entrar por ssh, consola y por web. Reiniciar el switch por CLI Este es el comando root@PasquelMNVL> request system rebooto si quieren mas comandos que peude usar con request system solo escirben: root@PasquelMNVL> request system reboot ?
Vovler a la configuracion de fabrica de EX2200Nos conectamos por medio de consola y escribimos estos comandos ya estando adentro de la configuracion del switch: root> start shell root : root@:RE:0% cd /config/ root@:RE:0% rm -rf juniper.conf* root@:RE:0% cd /config/db/config root@:RE:0%rm -rf juniper.conf.* root@:RE:0%reboot
¿Como crear VLAN'S y asignar interfaces a la VLAN?1. [edit] root@prueba# edit vlans 2. [edit vlans] root@prueba# set "nombre_vlan" vland-id "numero_vlan"3. [edit vlans] root@prueba# commit4. [edit vlans] root@prueba# top5. [edit] root@prueba# edit interfaces6. [edit interfaces] root@prueba# set "nombre_interfaz" unit 0 family ethernet-switching vlan "nombre_vlan"
nota esto fue sacado de : http://community.tsares.net/viewtopic.php?f=7&t=116 Comandos Frecuentes JunOS por Luis Moreno JunOS Nombres de interfaces y puertos FPC --> Flexible PIC Controller PIC --> Physical Interface Controller ge-0/2/3 = port 3 of a Gigabit Ethernet PIC in slot 2 on FPC 0 Slot -> PIC -> Puerto La edición de comandos en el CLI de JunOS es del tipo EMACS en el mundo Linux ctrl + b un caracter atras (back) ctrl + f un caracter adelante (forward) ctrl + a inicio (start) ctrl + e end (end) ctrl + d elimina el caracter donde esta posicionado el cursor (delete) ctrl + k elimina caracteres desde donde esta posicionado el cursor al final de la línea (delete) ctrl + u desecha el comando actual, como ctrl+c en la línea de comandos de Linux ctrl + w elimina la palabra completa que esta a la izquierda del cursor (word) ctrl + p repite el comando anterior (previous) ctrl + n comando siguiente (next) ctrl + i complete completa el comando, como tabulador o espacio Descripción de interfaces de servicio (Services Interface) es: Encryption interfcae gr: Generic route encapsulation tunnerl interface ip: IP-ove-IP encapsulation tunnel interface ls: Link services interface mo: ive monitoring interface
mt: Multicast tunnerl interface sp: Adaptive services interface vt: Virtual loopback tunnel interface Otros nombres de interface lo0: Loopback interface ae: Aggregated Ethernet interface as: Aggregated SONET interface vlan: vLAN interface Interfaces internas que no son reconfigurables gre: mtun: ipip: tap: Las interfaces varian de acuerdo a la plataforma
/////////////////////////////////////////////////// Comandos \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ -- Ver s conectados lmoreno@miSRX> show system s -- Ver las conecciones del equipo como un netstat en linux lmoreno@miSRX> show system connections -- Forzar el (salida) de un , sacar de una sesión lmoreno@miSRX> request system lmoreno -- sacar al de sesión por medio de la terminal a la que esta conectodo lmoreno@miSRX> request system terminal p2
-- historial de comandos de la sesión actual lmoreno@miSRX> show cli history -- Solo muestra las líneas que hagan coincidencia show interfaces | match down -- También puede emplearse el comando grep como en unix/linux en lugar de match, mostrará el mismo resultado show interfaces | grep down -- cuenta las lineas que hagan coincidencia (o que coincidan) con down y Physical show interfaces | match down | match Physical | count -- Ayuda help reference system host-name -- Configuration para saltarse a la rama principal top edit protocols ospf up up 2 exit
**************************************** Manejo de configuraciones **************************************** Manejo de configuraciones -- Copiar configuraciónes desde un texto que se guardadá en el portapapeles se tienen las siguientes opciones load merge - Útil cuando estás agregando una nueva sección a la configuración existente. Si la configuración existente contiene enunciados que están en conflicto, los enunciados que vengan de la configuración que se esta pegando, sobreescribiran la configuaración actual.
load override - Reemplaza toda la configuración actual, con la nueva configuracion -- Para compiar configuración desde un archivo de textoel portapapeles, útil cuando se copia configuración guardada como backup en un archivo de texto o bien de un equipo a otro y se hace un restore, las opciones que hay son merge para mezclar la configuración actual con la que se va a copiar lmoreno@miSRX> configure Entering configuration mode [edit] lmoreno@miSRX# load merge terminal [Type ^D at a new line to end input]
Al finalizar la copia del texto de configuración presionar CTRL+D y -- Aplicar cambios y salir del modo configuración commit and-quit -- comparar cambios que no se han aplicado con un commit, show | compare rollback 0 show | compare (se puede cambiar el número de rollback para compararlo con otras configuraciónes) -- Aplicar cambios y regresar a la configuración anterior si no se confirma, es útil cuando se quiere tener la seguridad que los cambios no afectarán la producción o no se perderá istrativo al firewall, si estás configurando el firewall remotamente y el cambio que acabas de realizar te podría dejar sin . En este ejemplo son 10 minutos pero puede ser de 1 hasta 65535 (poco más de 45 días) [edit] lmoreno@miSRX# commit confirmed 10 -- Para buscar errores en la operación commit ver los detalles de lo que esta fallando commit | display detail
-- Para poner un comentario al guardar la configuración y tener una mejor referencia para futuras consultas commit comment "Esta config es la buena" -- Ver las configuraciones almacenadas o los rollbacks almacenados lmoreno@miSRX> show system commit -- salir del modo configuración sin guardar los cambios rollback -- Para recuperar una configuración anterior almacenada en los rollback, por ejemplo para recuperar el rollback número 6 y guardar los cambios y salir [edit] lmoreno@miSRX# rollback 6 load complete [edit] lmoreno@miSRX# commit and-quit -- Para guardar el número máximo de archivos en flash y rollback [edit] lmoreno@miSRX# set system max-configuration-rollbacks 49 [edit] lmoreno@miSRX# set system max-configurations-on-flash 49 -- Guardar configuración en un servidor remoto mediante s para hacer un respaldo backup, en modo de configuración teclear el comando: save s://@host/ruta/nombrearchivo ejemplo: [edit] lmoreno@miSRX# save s://[email protected]/home/lmoreno/junosbck/201002221638.config'
La configuración se guarda en texto claro en el destino lo cual es útil para revisarla pero tambien es inseguro, así que donde guardes la configuración debe ser un recurso que asegures para evitar que tus configuraciones esten expuestas. -- Guarda la configuración de rescate para que pueda ser usada en un futuro, request system configuration rescue save -- Borra la configuración actual de de rescate request system configuration rescue delete -- Automatizar respaldos (backups), el equipo enviará el respaldo a un servidor S remoto automáticamente cada vez que se aplique un commit, tambien puede ser modificado para usar ftp en lugar de s, tan solo con cambiar s por ftp en el comando. lmoreno@miSRX> configure Entering configuration mode [edit] lmoreno@miSRX# edit system archival [edit system archival] lmoreno@miSRX# set configuration archive-sites "s://[email protected]/home/lmoreno/junosbckauto" miw0rd! The authenticity of host '192.168.16.50 (192.168.16.50)' can't be established. RSA key fingerprint is c0:30:25:65:33:41:77:76:25:7d:66:e9:9d:4f:23:f7. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '192.168.16.50' (RSA) to the list of known hosts. [edit system archival] lmoreno@miSRX# set configuration transfer-on-commit [edit system archival] lmoreno@miSRX# commit and-quit commit complete Exiting configuration mode
-- Para monitorear las transferencias de configuración automáticas lmoreno@miSRX> show log messages | match transfer
**************************************** FIN Manejo de configuraciones **************************************** FIN Manejo de configuraciones -- ver interfaces en modo resumido show interface terse -- ver el log sh log messages -- monitorear el log solo los ultimos eventos como tail en linux monitor start filename monitor start messages - para detener monitor stop messages -- hacer filtros a los comandos log show log messages | match " info" show log messages | find "Apr 1 09:" | match error show log messages | match "error|kernel|panic" show log messages | match ge-0/0/0 | match snmp -- Crear de modalidad operador con un simple de texto [edit] lmoreno@miSRX# set system nuevo uid 2002 class operator authentication plain-text- New : Retype new : -- ver los permisos de los s
sh config system
-- Cambiar el de un [edit] lmoreno@miSRX# set system lmoreno authentication plain-text- New : Retype new : -- conectarse por ftp, cambiarse al folder local /cf/var/tmp y descargar el archivo de firmware junos-srxsme-9.6R1.13-domestic.tgz ftp 192.168.16.1 lcd /var/tmp para cambiar a /cf/var/tmp get ejemplo get junos-srxsme-9.6R1.13-domestic.tgz
-- Crear zona y agregar interface a zona set security zones security-zone untrust interfaces fe-0/0/6 -- Crear una ruta estática hacia un proveedor de internet ISP en este caso 8.8.8.8 con mascara de 29 bits, [edit routing-options] lmoreno@miSRX# set static route 0/0 next-hop 2.1.1.1 0/0 = 0.0.0.0/0 o cualquier IP
-- Cambiar velocidad y configuración duplex, en modo configuración set interfaces ge-0/0/0 link-mode half-duplex
set interfaces ge-0/0/0 speed 100m -- Habilitar ping para una interface en la zona trust [edit] lmoreno@miSRX# set security zones security-zone trust interfaces ge-0/0/0 host-inboundtraffic system-services ping -- Ajustar la hora del sistema lmoreno@miSRX> configure Entering configuration mode [edit] lmoreno@miSRX# edit system [edit system] lmoreno@miSRX# set time-zone America/Mexico_City [edit system] lmoreno@miSRX# run set date 201002231712.25 (aquí va en formato YYYYMMDDhhmm.ss) Tue Feb 23 17:12:25 CST 2010 [edit system] lmoreno@miSRX# commit commit complete -- Ver la hora actual del sistema y el tiempo que ha estado operando lmoreno@miSRX> show system uptime -- El poder de Junos para filtrar información es excelente por ejemplo para ver los logs y filtrar los resultados por ejemplo ver quien apagó el equipo o quién intento entrar con un o inválido lmoreno@miSRX> show log messages | match power-down lmoreno@miSRX> show log messages | match "Failed "
-- Es posible usar terminos y combinarlos para tener opciones tipo AND por ejemplo para buscar los eventos del día 23 de febrero y que tienen que ver con s fallidos y que son de una IP especifica y que intentaron entrar con root lmoreno@miSRX> show log messages | find "Feb 23" | match 192.168.16.59 | match root -- Para opciones de tipo OR por ejemplo ver los mensajes que incluyan las palabras error o kernel o panic lmoreno@miSRX> show log messages | match "error|kernerl|panic" -- Para monitorear los mensajes en tiempo real lmoreno@miSRX> monitor start messages lmoreno@miSRX> *** messages *** Feb 23 18:20:34 miSRX sshd[4199]: Failed for sandwich from 192.168.16.59 port 13170 ssh2 Feb 23 18:20:39 miSRX sshd[4199]: Failed for sandwich from 192.168.16.59 port 13170 ssh2 Para detener e iniciar salida syslog presionar Esq + q -- Limpiar log o tracefile clear log nombre-de-archivo -- Para borrar archivo log o tracefile file delete nombre-de-archivo -- Habilitar SNMP para monitoreo lmoreno@miSRX> configure Entering configuration mode [edit] lmoreno@miSRX# edit snmp [edit snmp]
lmoreno@miSRX# set description "miSRX" [edit snmp] lmoreno@miSRX# set location "Site Principal" [edit snmp] lmoreno@miSRX# set "Luis Moreno x15005" [edit snmp] lmoreno@miSRX# set community MiComunidad authorization read-only clients 192.168.16.64/32 [edit snmp] lmoreno@miSRX# set trap-group miGrupodetraps version v2 categories chassis link startup authentication configuration [edit snmp] lmoreno@miSRX# set trap-group miGrupodetraps targets 192.168.16.64 La configuración final quedaría así: [edit snmp] lmoreno@miSRX# show description miSRX; location "Site Principal"; "Luis Moreno x15005"; community MiComunidad { authorization read-only; clients { 192.168.16.64/32; } } trap-group miGrupodetraps { version v2; categories {
authentication; chassis; link; startup; configuration; } targets { 192.168.16.64; } } -- Ver temperatura estado de ventiladores show chassis environment -- Ver temperatura utilización de memoria, U show chassis routing-engine -- Ver detalles sobre los componentes de hardware, número de serie, etc. show chassis hardware -- Instalar licencias directamente desde servidores Juniper request system license update -- Ver el estado de las licencias, licencias instaladas show system licence -- Ver el número de sesiones máximo para el dispositivo lmoreno@miSRX> show security flow session summary
-- Ver la tabla arp show arp
-- Eliminar el al cli mediante telnet por ser un protocolo inseguro, en modo de configuración: delete security zones security-zone trust interfaces ge-0/0/0 host-inbound-traffic systemservices telnet
**************************************** Security Policies / Políticas de Firewall **************************************** Security Policies / Políticas de Firewall -- Ver configuración de la política de la zona untrust a la zona trust show security policies detail from-zone untrust to-zone trust
-- Configurar Horarios para ser aplicados a políticas, por ejemplo se puede crear un scheduler para que durante horas de oficina no se pueda acceder a sitios de redes sociales. Para configurar un scheduler (horario) empleando el CLI: 1.- Para crear un horario que va de las 8 AM a las 9 PM todos los días de la semana, que inicia en Marzo 1 2010 hasta Abril 1, 2011, exepto sábado y domingo. lmoreno@miSRX# set schedulers scheduler horario1 start-date 2010-03-01.08:00 stopdate 2011-04-01.21:00 lmoreno@miSRX# set schedulers scheduler horario1 saturday exclude lmoreno@miSRX# set schedulers scheduler horario1 sunday exclude 2.- El siguiente comando asocia el schedule a la política, permitiendo durante horas de oficina. lmoreno@miSRX# set security policies from-zone trust to-zone untrust policy horas-deoficina scheduler-name horario1
**************************************** FIN Security Policies / Políticas de Firewall
**************************************** FIN Security Policies / Políticas de Firewall
**************************************** SCREEN Options **************************************** SCREEN Options -- Ver las opciones de SCREEN configuradas en el objeto untrust-screen lmoreno@miSRX> show security screen ids-option untrust-screen -- Ver las estadísticas de SCREEN en la interfaz untrust lmoreno@miSRX> show security screen statistics zone untrust -- Ver en el log los mensajes que coinciden con las opciones de SCREEN lmoreno@miSRX> show log messages | match RT_SCREEN
**************************************** FIN SCREEN Options **************************************** FIN SCREEN Options **************************************** Intrusion Detection and Prevention (IDP) **************************************** Intrusion Detection and Prevention (IDP) -- Para poder descargar actualizaciones de Juniper es necesario contar con una licencia válida, para checar las licencias instaladas en el equipo lmoreno@miSRX> show system license -- Para descargar las actualizaciones de IDP una vez que se confirmó la existencia de una licencia lmoreno@miSRX> request security idp security-package full-update -- Verificar el estado de la transferencia lmoreno@miSRX> request security idp security-package status -- Para instalar una base de datos de IDP que se descargó
lmoreno@miSRX> request security idp security-package install -- Verificar el estado de la instalación lmoreno@miSRX> request security idp security-package install status -- Ver la versión de la base de datos de IDP lmoreno@miSRX> show security idp security-package-version -- Ver la versión de la base de datos de IDP del servidor de Juniper, útil para verificar conectividad con el servidor y comparar contra la versión instalada lmoreno@miSRX> request security idp security-package check-server -- Instalar la política "Recommended IDP policy" que es una política genérica que puede ser útil en la mayoría de los casos lmoreno@miSRX> request security idp security-package policy-templates Will be processed in async mode. Check the status using the status checking CLI -- Verificar el estado de la descarga lmoreno@miSRX> request security idp security-package status In progress:ing file ...templates.xml.gz lmoreno@miSRX> request security idp security-package status Done;Successfully ed from(https://services.netscreen.com/cgi-bin/index.cgi). Version info:2 -- Instalar el template de política lmoreno@miSRX> request security idp security-package install policy-templates Will be processed in async mode. Check the status using the status checking CLI -- Verificar el estado de la instalación del template lmoreno@miSRX> request security idp security-package install status Done;policy-templates has been successfully updated into internal repository (=>/var/db/scripts/commit/templates.xsl)! -- Activar el script de template y aplicar los cambios con commit
lmoreno@miSRX> edit Entering configuration mode [edit] lmoreno@miSRX# set system scripts commit file templates.xsl [edit] lmoreno@miSRX# commit -- Verificar si el policy template existe en la configuración [edit] lmoreno@miSRX# edit security idp [edit security idp] lmoreno@miSRX# set active-policy ? Possible completions: Set active policy Recommended -- Configurar la política de IDP Recommended como la política activa [edit security idp] lmoreno@miSRX# set active-policy Recommended -- Desactivar el "commit script" para que no sobre-escriba las modificaciones que se le hagan al template. [edit system scripts commit] lmoreno@miSRX# deactivate file templates.xsl -- Ver el contenido o las políticas del template Recommended [edit security idp] lmoreno@miSRX# show idp-policy Recommended -- Para eliminar una regla del template Recommended (u otro que se desee) por ejemplo la regla 5
[edit security idp] lmoreno@miSRX# delete idp-policy Recommended rulebase-ips rule 5 -- Aplicar idp a política existente [edit security policies from-zone untrust to-zone miDMZ policy dst-nat-web] lmoreno@miSRX# set then permit application-services idp [edit security policies from-zone untrust to-zone miDMZ policy dst-nat-web] lmoreno@miSRX# commit commit complete -- Monitorear la operación del IDP lmoreno@miSRX> show security policies policy-name dst-nat-web detail Policy: dst-nat-web, action-type: permit, State: enabled, Index: 8 Sequence number: 1 From zone: untrust, To zone: dsDMZ Source addresses: any: 0.0.0.0/0 Destination addresses: webserver: 10.2.77.2/32 Application: junos-http IP protocol: t, ALG: 0, Inactivity timeout: 1800 Source port range: [0-0] Destination port range: [80-80] Intrusion Detection and Prevention: enabled Unified Access Control: disabled -- Monitorear el status (estado) del IDP y estadísticas lmoreno@miSRX> show security idp status Status of IDP: s0, Up since: 2010-03-16 12:06:06 CST (1w0d 07:41 ago) Packets/second: 0 Peak: 0 @ 2010-03-16 12:06:06 CST KBits/second : 0 Peak: 0 @ 2010-03-16 12:06:06 CST Latency (microseconds): [min: 0] [max: 0] [avg: 0]
Packet Statistics: [ICMP: 0] [T: 0] [UDP: 0] [Other: 0] Flow Statistics: ICMP: [Current: 0] [Max: 0 @ 2010-03-16 12:06:06 CST] T: [Current: 0] [Max: 0 @ 2010-03-16 12:06:06 CST] UDP: [Current: 0] [Max: 0 @ 2010-03-16 12:06:06 CST] Other: [Current: 0] [Max: 0 @ 2010-03-16 12:06:06 CST] Session Statistics: [ICMP: 0] [T: 0] [UDP: 0] [Other: 0] Policy Name : Recommended v0 Running Detector Version : 10.3.160100209 -- Mostrar los contadores del IDP lmoreno@miSRX> show security idp counters ? Possible completions: application-identification Show Application Identification counters dfa Show IDP DFA counters flow Show IDP Flow counters ips Show IPS counters log Show IDP Log counters packet Show IDP Packet counters policy-manager Show IDP Policy counters t-reassembler Show IDP Reassembler counters -- Monitorear el uso de memoria del IDP lmoreno@miSRX> show security idp memory IDP data plane memory statistics: Total IDP data plane memory : 188 MB Used : 7 MB ( 7168 KB ) Available : 181 MB ( 185344 KB )
-- Monitoreo mediante logs, es posible enviar un log si ocurre un ataque y el IDP lo detecte con el comando [edit security idp idp-policy Recommended rulebase-ips rule 1] lmoreno@miSRX# set then notification log-attacks [edit security idp] lmoreno@miSRX# set traceoptions flag all **Los logs se guardan en /var/log/idpd -- Para ver los logs de idp lmoreno@miSRX> show log idpd -- Para ver los grupos de ataques predeterminados (predefined attack group) en el IDP lmoreno@miSRX> file show /var/db/idpd/sec-repository/attack-group.list -- Para filtrar un un grupo en especifico por ejemplo P2P ejecuta el siguiente comando lmoreno@miSRX> file show /var/db/idpd/sec-repository/attack-group.list | grep p2p | nomore
**************************************** FIN Intrusion Detection and Prevention (IDP) **************************************** FIN Intrusion Detection and Prevention (IDP)
**************************************** Web Filtering **************************************** Web Filtering Configurar Integrated Web Filtering con whitelist y blacklist y perfil por default junos-wfa-default
Con esta configuración configurarás tu SRX para que puedas emplear el Web Filtering integrado con SurfControl y podrás emplear listas blancas para dar a páginas que desees excluir del filtrado e incluir otras que no esten siendo filtradas pero por su naturaleza no te convenga tenerlas habilitadas. Los comandos para objetos personalizados de Web Filtering son: Para configurar un Web Filtering local usando el CLI, primero debes crear objetos personalizados (custom objects) a) Configura un URL pattern list (lista de patrones URL) creando un nombre de lista (list name) y agregando valores como se muestra a continuación. [edit] lmoreno@miSRX# set security utm custom-objects url-pattern lista01-url value [http://www.playboy.com] lmoreno@miSRX# set security utm custom-objects url-pattern lista02-url value [http://www.penthouse.com] Se pueden usar wildcards como sigue: \*\.[]\?* y debes preceder todos los wildcards con http:// Solo puedes usar "*" si se encuentra al inicio del URL y esta seguido por un punto "." y solo puedes usar "?" si se encuentra al final del URL La siguiente sintaxis es soportada: http://*.juniper.net, http://www.juniper.ne?,http://www.juniper.n?? Lo siguiente no es soportado: *.juniper.net, http://www.juniper.ne?,http://*juniper.net, http://* b) Configurar una lista de categoría URL personalizada empleando el pattern list que se creó [edit] lmoreno@miSRX# set security utm custom-objects custom-url-category categoria-url01 value lista01-url lmoreno@miSRX# set security utm custom-objects custom-url-category categoria-url02 value lista02-url
Ahora que los objetos personalizados han sido creados, puedes configurar el perfil de Web filtering llamado surf-control-integrated 1.- Si estás usando las categorias whitelist y blacklist que se incluyen, selecciona esas categorías globales. Estas son las primeras categoría que tanto la integrated, redirect y local emplean. Si no se encuentra coincidencia en estas listas se envía el URL al servidor de SurfControl. Ejemplos para agregar al Withelist y Blacklist: [edit] lmoreno@miSRX# set security utm feature-profile web-filtering url-blacklist categoriaurl01 lmoreno@miSRX# set security utm feature-profile web-filtering url-whitelist categoriaurl02 2.- Selecciona surf-control-integrated como tu Web Filtering engine como sigue: [edit] lmoreno@miSRX# set security utm feature-profile web-filtering surf-control-integrated 3.- Establece el tamaño del cache para el perfil surf-control-integrated (500 Kb es el default) [edit] lmoreno@miSRX# set security utm feature-profile web-filtering surf-control-integrated cache size 1000 4.- Establece el timeout (tiempo de vida) para el cache máximo 1800 segundos [edit] lmoreno@miSRX# set security utm feature-profile web-filtering surf-control-integrated cache timeout 1800 5.- Define la política UTM para HTTP (web-filter) y anexa esta política al perfil predefinido junos-wf-a-default [edit] lmoreno@miSRX# set security utm utm-policy web-filter web-filtering http-profile junos-
wf-a-default 6.- Aplica la política UTM a la política de la zona trust hacia la zona untrust y establece los servicios que se permitiran [edit] lmoreno@miSRX# set security policies from-zone trust to-zone untrust policy web-filter match source-address any lmoreno@miSRX# set security policies from-zone trust to-zone untrust policy web-filter match destination-address any lmoreno@miSRX# set security policies from-zone trust to-zone untrust policy web-filter match application junos-http lmoreno@miSRX# set security policies from-zone trust to-zone untrust policy web-filter then permit application-services utm-policy web-filter [edit security utm] lmoreno@miSRX# show custom-objects { url-pattern { lista02-url { value [ http://www.penthouse.com ]; } lista01-url { value http://www.playboy.com; } } custom-url-category { categoria-url01 { value lista01-url; } categoria-url02 { value lista02-url; } } } feature-profile {
web-filtering { url-whitelist categoria-url02; url-blacklist categoria-url01; type surf-control-integrated; surf-control-integrated { cache { timeout 1800; size 1000; } } } } utm-policy web-filter { web-filtering { http-profile junos-wf-a-default; } }
lmoreno@miSRX# show policies from-zone trust to-zone untrust policy web-filter { match { source-address any; destination-address any; application junos-http; } then { permit { application-services { utm-policy web-filter; } } } }
--> Monitorear el Web Filtering -- Para ver el estado del web filtering lmoreno@miSRX> show security utm web-filtering status UTM web-filtering status: Server status: SC-A server up -- Para ver las estadísticas del web filtering lmoreno@miSRX> show security utm web-filtering statistics UTM web-filtering statistics: Total requests: 646 white list hit: 77 Black list hit: 4 Queries to server: 516 Server reply permit: 486 Server reply block: 30 Custom category permit: 0 Custom category block: 0 Cache hit permit: 13 Cache hit block: 36 Web-filtering sessions in total: 4000 Web-filtering sessions in use: 1 Fall back: log-and-permit block Default 0 0 Timeout 0 0 Connectivity 0 0 Too-many-requests 0 0
-- Solución de problemas de Web Filtering (Troubleshooting) Las siguientes opciones se emplean para solucionar problemas de web filtering: lmoreno@miSRX# set security traceoptions flag all lmoreno@miSRX# set security utm traceoptions flag all lmoreno@miSRX# set security utm application-proxy traceoptions flag all
lmoreno@miSRX# set security utm feature-profile web-filter traceoptions flag all Las opciones de trace o rastreo se pueden ver en el siguiente log: lmoreno@miSRX# show log utmd-wf -- Para ver la configuración del perfil por default para web filtering, ejecutar el siguiente comando lmoreno@miSRX> show configuration groups junos-defaults security utm feature-profile web-filtering -- También es posible configurar un perfil personalizado con diferente comportamiento que el default y quedaría más o menos de la siguiente forma: [edit security utm] lmoreno@miSRX# show custom-objects { url-pattern { negra-lista01 { value [ http://*.facebook.com http://*.penthouse.com ]; } blanca-lista01 { value http://www.playboy.com; } } custom-url-category { blanca-categoria01 { value blanca-lista01; } negra-categoria01 { value negra-lista01; } } } feature-profile {
web-filtering { url-whitelist blanca-categoria01; url-blacklist negra-categoria01; type surf-control-integrated; surf-control-integrated { cache { timeout 1800; size 1000; } profile bloqueo-seleccionado { category { Adult_Sexually_Explicit { action block; } ments { action block; } Criminal_Skills { action block; } Drugs_Alcohol_Tobacco { action block; } Gambling { action block; } Hacking { action block; } Hate_Speech { action block; } Personals_Dating { action log-and-permit; }
Remote_Proxies { action block; } Sex_Education { action log-and-permit; } Violence { action block; } Weapons { action block; } } default permit; custom-block-message "El sitio solicitado no parece ser un sitio relacionado al negocio, favor de ar a soporte técnico ext 199"; } } } } utm-policy web-filter { web-filtering { http-profile junos-wf-a-default; } } utm-policy wf-bloqueo-personalizado { web-filtering { http-profile bloqueo-seleccionado; } }
**************************************** FIN Web Filtering
**************************************** FIN Web Filtering
**************************************** Security NAT **************************************** Security NAT +++++++++++ Destination NAT con PAT - como un port forwarding o mapeo de puertos en SRX210 para publicar un servidor Web al mundo exterior IP pública: 2.1.1.100 puerto 80 IP interna: 10.1.1.100 puerto 8000 set security nat proxy-arp interface ge-0/0/0.0 address 2.1.1.100 set security nat destination pool dnat-pool-web address 10.1.1.100 port 8000 set security nat destination rule-set dst-nat-web from zone untrust set security nat destination rule-set dst-nat-web rule r1 match destination-address 2.1.1.100 set security nat destination rule-set dst-nat-web rule r1 then destination-nat pool dnatpool-web set security zones security-zone trust address-book address webserver 10.1.1.100 set applications application http-8000 protocol t destination-port 8000 set security policies from-zone untrust to-zone miDMZ policy dst-nat match sourceaddress any destination-address webserver application http-8000 set security policies from-zone untrust to-zone miDMZ policy dst-nat then permit ----> así se ve la configuración desde modo de edición --> Destination NAT pool y rule-sets [edit security nat destination] lmoreno@miSRX# show pool dnat-pool-web { address 10.1.1.100/32 port 8000; } rule-set dst-nat-web { from zone untrust;
rule r1 { match { destination-address 2.1.1.100/32; } then { destination-nat pool dnat-pool-web; } } }
--> Proxy-arp [edit security nat] lmoreno@miSRX# show ...Configuración extra omitida... } proxy-arp { interface ge-0/0/0.0 { address { 2.1.1.100/32; } } }
--> Aplicación en puerto 8000 [edit applications] lmoreno@miSRX# show application http-8000 { protocol t; destination-port 8000; }
--> Addressbook en zona miDMZ [edit security zones security-zone miDMZ] lmoreno@miSRX# show address-book { address webserver 10.1.1.100/32; }
--> Política [edit security policies from-zone untrust to-zone miDMZ] lmoreno@miSRX# show policy dst-nat-web { match { source-address any; destination-address webserver; application http-8000; } then { permit; } }
+++++++++++ FIN Destination NAT con PAT - como un port forwarding o mapeo de puertos en SRX210 para publicar un servidor Web al mundo exterior
-- Crear una nueva aplicación protocolo t puerto 22 y un timeout de 3600 segundos lmoreno@miSRX> edit lmoreno@miSRX# set applications application my-ssh protocol t lmoreno@miSRX# set applications application my-ssh destination-port 22 lmoreno@miSRX# set applications application my-ssh inactivity-timeout 3600
lmoreno@miSRX> edit lmoreno@miSRX# set applications application RDP protocol t lmoreno@miSRX# set applications application RDP destination-port 3389
-- Ver las aplicaciones por default o "application sets" por ejemplo junos-http, junos-ssh, junos-https, junos-telnet, junos-ftp, etc. lmoreno@miSRX> show configuration groups junos-defaults applications +++++++++++ Source NAT para salida a Internet -- Para realizar un source NAT (para que las PCs de la red interna tengan salida a Internet) de la zona trust a la zona untrust ejecuta los siguientes 4 comandos, para que el NAT funcione ya deberan estar creadas las zonas y deberá existir una ruta estática hacia el proveedor de Internet. lmoreno@miSRX> configure lmoreno@miSRX# set security nat source rule-set interface-nat from zone trust lmoreno@miSRX# set security nat source rule-set interface-nat to zone untrust lmoreno@miSRX# set security nat source rule-set interface-nat rule regla1 match sourceaddress 0.0.0.0/0 destination-address 0.0.0.0/0 lmoreno@miSRX# set security nat source rule-set interface-nat rule regla1 then sourcenat interface +++++++++++ FIN - Source NAT para salida a Internet -- Ver configuración de un pool lmoreno@miSRX> show security nat destination pool -- Ver configuración de la política y cuantas veces ha sido traducida lmoreno@miSRX> show security nat destination rule all lmoreno@miSRX> show security nat source rule all -- Ver configuración del destination nat y cuantas veces ha sido traducida lmoreno@miSRX> show security nat destination summary
-- Monitorear las sesiones del destination nat con IP pública 2.1.1.100 lmoreno@miSRX> show security flow session destination-prefix 2.1.1.100 **************************************** FIN Security NAT **************************************** FIN Security NAT **************************************** Ruteo **************************************** Ruteo -- Ver las rutas actuales (tabla de ruteo) show route -- Ver por que ruta sale hacia una dirección en especifico show route 192.168.16.1 -- Ver una ruta que coincida exactamente show route 192.168.16.1 exact -- Ver mayor información de la ruta en cuestión show route 192.168.16.1 extensive -- Ver el forwarding table show route forwarding-table -- Descripción de registros del forwarding table dest: Direcciones remotas son directamente alcanzables a través de una interface intf: Instalada como resultado de configurar una interface perm: Rutas instaladas por el kernel cuando la tabla de ruteo inicializa : Rutas instaladas por el proceso routing protocol como resultado de una configuración -- Descripción de tipos asociados con next-hops (siguiente salto) bcst: Broadcast dscd: Discard - Descarta silenciosamente sin enviar un paquete ICMP unreachable
(inalcanzable) hold: En espera - Next hop esta esperando resolver entre unicast y multicast locl: Local - Dirección local en una interface msct: Wire multicast next hop (limitado a la LAN) mdsc: Multicast Discard - Rechazo Multicast recv: Receive - Recepción, recibir rjct: Reject - Descarta y envía un mensaje ICMP unreachable ucst: Unicast ulst: Unicast List - Lista de Unicast next hops empleados cuando se configura load balancing (balanceo de cargas) -- Ver instancias de ruteo configuradas show route instance -- Instancias de ruteo (routing instances) definidas por el **************************************** FIN Ruteo **************************************** FIN Ruteo
************************ ///////////////////////////////////////
Troubleshooting flow SRX Options * Mark as New * Bookmark * Subscribe * * Subscribe to RSS Feed
* * Highlight * Print * Email to a Friend * * Report Inappropriate Content 10-27-2008 02:01 AM Troubleshooting flow
trust-zone 10.1.2.1/24 1.1.1.3/24 untrust-zone PC==========DUT==========SERVER ge-0/0/1 ge-0/0/0 Flow debugging can be enabled as a traceoptions file in JUNO-ES. The traceoption file can be the viewed at the later time or in real time. An example commands to enable debug and create traceoption file . The file is stored under /var/logs/ directory [edit] root@sunnyvale# set security flow traceoptions file flow-trace root@sunnyvale# set security flow traceoptions flag all In this example, “flow-trace” is the filename To view the file [edit] root@sunnyvale# run file show /var/log/flow-trace or run show log flow-trace To view in real time
[edit] root@sunnyvale# monitor start flow-trace To clear the logs root@sunnyvale# run clear log flow-trace
Creating flow filters: Flow filters can be created to match 1. Source IP address 2. Source Port 3. Destination IP address 4. Destination port 5. Protocol 6. interface
Configuring flow filter [edit] root@sunnyvale# set security flow traceoptions packet-filter f0 destination-port 80 destination-prefix 1.1.1.1/32 In this example “ f0” is the name of the filter ************************ ///////////////////////////////////////
**************************************** Manejo de logs **************************************** Manejo de logs -- Para copiar un archivo de log a otro equipo fuera del Firewall
root@miSRX> start shell root@miSRX% s miflow* [email protected]'s : miflow 100% 56KB 56.5KB/s 00:00 miflow.0.gz 100% 4325 4.2KB/s 00:00 miflow.1.gz 100% 9855 9.6KB/s 00:00 root@miSRX% Como se puede apreciar se copiaron tres archivos a un host remoto en este caso con la IP: 192.168.16.20 -- Ver el espacio usado en el dispositivo SRX root@miSRX> show system storage detail Filesystem 1024-blocks Used Avail Capacity Mounted on /dev/da0s1a 919988 242874 603516 29% / devfs 1 1 0 100% /dev devfs 1 1 0 100% /dev/ /dev/md0 488002 488002 0 100% /junos /cf 919988 242874 603516 29% /junos/cf devfs 1 1 0 100% /junos/dev/ procfs 4 4 0 100% /proc /dev/bo0s1e 25004 126 22878 1% /config /dev/md1 171862 13794 144320 9% /mfs /dev/da0s1f 62316 1082 56250 2% /cf/var/log /cf/var/jail 919988 242874 603516 29% /jail/var devfs 1 1 0 100% /jail/dev /dev/md2 40110 4 36898 0% /mfs/var/run/utm
-- Limpiar logs root@miSRX> request system storage cleanup List of files to delete:
Size Date Name 355B Mar 17 19:08 /cf/var/jail/tmp/events-table.txt 70B Mar 26 18:16 /cf/var/jail/tmp/jweb-s.xml 113B Mar 22 18:05 /cf/var/jail/tmp/sess_c7eabedffaf83185500872d4b9d80b74df0249ab 10.6K Mar 16 17:33 /cf/var/log/flow-trace.0.gz 12.0K Mar 16 17:32 /cf/var/log/flow-trace.1.gz 173B Mar 23 19:03 /cf/var/log/idpd.addver 1764B Mar 19 22:50 /cf/var/log/idpd_err.20100319 588B Mar 23 19:01 /cf/var/log/idpd_err.20100323 180B Feb 16 03:19 /cf/var/log/idpinfo_err.20100216 180B Feb 17 01:33 /cf/var/log/idpinfo_err.20100217 180B Mar 17 19:12 /cf/var/log/idpinfo_err.20100317 360B Mar 23 19:50 /cf/var/log/idpinfo_err.20100323 121B Mar 29 16:57 /cf/var/log/interactive-commands.0.gz 9278B Mar 29 16:57 /cf/var/log/messages.0.gz 127.6K Feb 22 20:00 /cf/var/log/messages.1.gz 138.1K Feb 22 10:00 /cf/var/log/messages.2.gz 4325B Mar 29 16:10 /cf/var/log/miflow.0.gz 9855B Mar 29 16:08 /cf/var/log/miflow.1.gz 3403B Mar 16 12:05 /cf/var/tmp/cleanup-pkgs.log 36.4K Mar 17 19:08 /cf/var/tmp/event_tags.php 124.0K Feb 22 21:13 /cf/var/tmp/gres-tp/env.dat 0B Feb 16 00:51 /cf/var/tmp/gres-tp/lock 4B Mar 16 12:06 /cf/var/tmp/idp_license_info 76B Mar 16 12:07 /cf/var/tmp/krt_gencfg_filter.txt 1424B Mar 16 12:07 /cf/var/tmp/sampled.pkts 0B Feb 16 00:49 /cf/var/tmp/spu_kmd_init Delete these files ? [yes,no] (no) yes
**************************************** FIN Manejo de logs **************************************** FIN Manejo de logs
**************************************** Configuración SNMP **************************************** Configuración SNMP -- Configuración de SNMP en Juniper SRX La siguiente configuración configura SNMP para que solo envié paquetes a la IP 192.168.16.64 y estos paquetes son solo de lectura y la interfaz autorizada es la ge-0/0/0 [edit] lmoreno@miSRX# set snmp location CDCIII lmoreno@miSRX# set snmp "[email protected]" lmoreno@miSRX# set snmp community DSSOL3 authorization read-only lmoreno@miSRX# set security zones security-zone trust interfaces ge-0/0/0 host-inboundtraffic system-services snmp lmoreno@miSRX# set snmp community DSSOL3 clients 192.168.16.64 lmoreno@miSRX# set snmp community DSSOL3 clients 0.0.0.0/0 restrict -- Se pueden realizar varias consultas a la base snmp desde el mismo dispositivo con los siguientes comandos: lmoreno@miSRX> show snmp mib walk jnxMibs lmoreno@miSRX> show snmp mib walk jnxOperatingDescr jnxOperatingDescr.1.1.0.0 = midplane jnxOperatingDescr.4.1.0.0 = SRX210 Chassis fan jnxOperatingDescr.7.1.0.0 = FPC: FPC @ 0/*/* jnxOperatingDescr.8.1.1.0 = PIC: 2x GE, 6x FE, 1x 3G @ 0/0/* jnxOperatingDescr.9.1.0.0 = Routing Engine jnxOperatingDescr.9.1.1.0 = USB Hub -- Desde Linux con el comando snmpwalk también es posible hacer consultas snmp, siempre y cuando la máquina Linux este autorizada en el SRX. snmpwalk -v 2c -Ob -c public nombredelsrxaqui 1.3.6.1.4.1.2636.3 **************************************** FIN Configuración SNMP
**************************************** FIN Configuración SNMP
**************************************** Manejo de procesos **************************************** Manejo de procesos Para reiniciar un proceso primero ver que procesos se están ejecutando con el comando lmoreno@miSRX> show system processes extensive Ahora filtraremos nuestro proceso especifico que deseamos reiniciar en este caso reiniciaremos el servicio utmd que es responsable de manejar el web filtering, IDS, etc. -- Ver un proceso especifico lmoreno@miSRX> show system processes extensive | grep utmd -- Reiniciar el proceso, primero se deberá emplear la opción gracefully para darle oportunidad al proceso de limpiar archivos, memoria, etc, en caso de que el proceso no pueda reiniciarse gracefully, usar immediately lmoreno@miSRX> restart utmd gracefully UTM Daemon started, pid 32840
Related Documents 3h463d
Comandos Junos 3g5g4q
December 2019 28
Junos Cos Configuration Guide 6c5q67
December 2019 39
Junos Fast Track Faq 103q2c
October 2019 61
Junos Service Provider Switching.pdf 381549
November 2021 0
Junos - Rib-groups m6rp
January 2022 0
Junos Service Provider Switching 263o37
December 2021 0More Documents from "Kori Warmy" u695g
Comandos Junos 3g5g4q
December 2019 28
Www Educacioninicial Com 6e6d2x
April 2022 0
Hormones Season 1 Chapter 3 6v3g
April 2023 0
Xenon 750 Genesis Data Sheet En 3r5c2s
January 2022 0
Thyatis 5x1c53
July 2022 0