* Juniper에서 접근제어 ACL을 설정하려면 filter를 생성해서 lo0 인터페이스에 적용한다
* 예시는 장비에 SSH 접근제어를 설정하는 것을 가정하여 작성하였다
1) 허용 IP 대역 그룹 생성
SRX# set policy-options prefix-list ssh-ip 10.10.10.10/24
-> ssh-ip 라는 허용그룹을 만들고 10.10.10.10/24 IP 대역을 매핑
2) filter 생성
SRX# set firewall family inet filter manager-ip term block-ssh from source-address 0.0.0.0/0
SRX# set firewall family inet filter manager-ip term block-ssh from source-prefix-list ssh-ip except
SRX# set firewall family inet filter manager-ip term block-ssh from protocol tcp
SRX# set firewall family inet filter manager-ip term block-ssh from destination-port ssh
SRX# set firewall family inet filter manager-ip term block-ssh then discard
SRX# set firewall family inet filter manager-ip term accept_everything_else then accept
-> manager-ip 라는 filter를 만들고 그 안에 block-ssh라는 term을 만들어 조건을 입력했다
-> 0.0.0.0/0에서 들어오는 모든 ssh를 discard (거부)하고 나머지 통신(accept_everything_else)을 accept (허용)한다
단, ssh-ip 그룹을 source로 하는 통신은 except (예외처리) 한다
3) filter를 lo0 인터페이스에 적용
SRX# set interfaces lo0 unit 0 family inet filter input manager-ip
'네트워크' 카테고리의 다른 글
| [Cisco][Catalyst] 장비 초기화 방법 (0) | 2024.11.20 |
|---|---|
| [Juniper][Junos] 실시간 트래픽량 확인 (monitor interface traffic) (0) | 2024.11.20 |
| [Juniper][Junos] NTP 설정 (0) | 2024.11.19 |
| [Juniper][Junos] 세션 확인 방법 (show security flow session) (0) | 2024.11.19 |
| [Fortinet][Fortigate] 실시간 덤프 명령어 (diagnose sniffer packet) (0) | 2024.11.07 |