Закрыть tcp/udp 445 порт на srx650

@1rkutsk · Регистрация: 09.08.2017

Студворк — интернет-сервис помощи студентам

Подскажите, как именно реализуется закрытие портов в данном оборудование?
зона используется только одна (trust), как понял нужно правило из зоны trust в trust запрет на прохождение 445.

в той же циске проще закрывать порты, к примеру 8080:
access-list 120 deny tcp host 10.43.0.27 gt 1023 any eq www

@MonaxGT · 09.08.2017, 10:52

1rkutsk, чуть выше есть прикрепленные темы, специально для тех кто не знает.
Security [Security Zones, Security Policies]
Там я расписывал логику настройки.

Вообще все зависит от целей, правильно заблокировать с помощью sec policy(ZBF на Cisco), но если у вас она выключена и не нужна, можно и фильтром (аналог acl)

@1rkutsk · 09.08.2017, 11:08 **[ТС]**

MonaxGT, интересует именно аналог acl.
можно хоть какой нибудь пример, не особо понимаю синтаксис, как прописать в cli

@MonaxGT · 09.08.2017, 12:50

1rkutsk,
Я вижу Вы отчаянно не желаете использовать глобальную сеть поиска для поиска ответов)
Вот пример
Официальная инстуркция здесь и здесь

А если Вам и читать лень, то вот ролик официальный)))

@1rkutsk · 14.08.2017, 04:46 **[ТС]**

Извиняюсь за глупый вопрос, не удается посадить фильтр на порт..

set interfaces ge-0/0/0 unit 0 family ethernet-switching filter не знает такой команды!
а
set interfaces ge-0/0/0 unit 0 family inet filter и т.д. проходит, но когда привязываешь к порту, говорит что не та family (все порты работают в ethernet-switching)

что не так делаю?

@MonaxGT · 14.08.2017, 10:32

1rkutsk, прикольно,
Но Вы пытается на порт, что работает на втором уровне навесить правило, что работает на третьем)
Вам надо вещать фильтр или на intervlan интерфейсе или перевести интерфейс на третий уровень в inet семью.
Inet - третий уровень
ethernet-switching - второй

@1rkutsk · 05.09.2017, 06:30 **[ТС]**

Спасибо!
Возник ещё один вопрос.
Если я создал два фильтра в firewall, один откидывает 445 порт, второй пропускает пинг только с одного ip адреса, оба фильтра имеют по 2 терма. Возможно ли на порт повешать сразу два фильтра (пока это не удается, если через консоль, то действует последнее введенное правило) ?

@vertex4 · 05.09.2017, 09:54

1rkutsk,
А каким образом вешаешь этот фильтр? Через input-list/output-list?

Code
1
2
3
[edit interfaces lo0 unit 0 family inet filter]
aaa@srx240# show
input-list [ ssh_acl CCTV ];

@MonaxGT · 05.09.2017, 10:35

1rkutsk, То что Вы хотите называтся фильтр лист, можно навесить, но а смысл?
Правильнее использовать 1 ACL с разными термами и описанием каждого терма

@1rkutsk · 05.09.2017, 10:55 **[ТС]**

vertex4,
set interfaces ge-2/0/1 unit 0 family inet filter input (и тут по очереди пиши 445 и ping - 2 фильтра, но вешается только последний).

Вот сами фильтры:

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
firewall {
    family inet {
        filter 445 {
            term a {
                from {
                    source-address {
                        10.10.122.0/24;
                        10.10.124.0/24;
                    }
                    protocol [ tcp udp ];
                    destination-port 445;
                }
                then {
                    discard;
                }
            }
            term b {
                then accept;
            }
        }
        filter ping {
            term 1 {
                from {
                    destination-address {
                        10.10.10.1/30;
                    }
                    protocol icmp;
                }
                then accept;
            }
            term 2 {
                then {
                    discard;
                }
            }
        }
    }
}

@vertex4 · 05.09.2017, 11:10

1rkutsk,
Я же написал, используй вместо input - input-list!
MonaxGT,
Это не удобно, когда правила совпадают по термам, и всего лишь небольшое отличие. Писать под каждый чих новый фильтр - замучаешься.

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL3_image 8Observer8 10.02.2026 Содержание блога Библиотека SDL3_image содержит инструменты для расширенной работы с изображениями. Пошагово создадим проект для загрузки изображения формата PNG с альфа-каналом (с прозрачным. . .	Установка Qt-версии Lazarus IDE в Debian Trixie Xfce volvo 10.02.2026 В общем, достали меня глюки IDE Лазаруса, собранной с использованием набора виджетов Gtk2 (конкретно: если набирать текст в редакторе и вызвать подсказку через Ctrl+Space, то после закрытия окошка. . .
SDL3 для Web (WebAssembly): Работа со звуком через SDL3_mixer 8Observer8 08.02.2026 Содержание блога Пошагово создадим проект для загрузки звукового файла и воспроизведения звука с помощью библиотеки SDL3_mixer. Звук будет воспроизводиться по клику мышки по холсту на Desktop и по. . .	SDL3 для Web (WebAssembly): Основы отладки веб-приложений на SDL3 по USB и Wi-Fi, запущенных в браузере мобильных устройств 8Observer8 07.02.2026 Содержание блога Браузер Chrome имеет средства для отладки мобильных веб-приложений по USB. В этой пошаговой инструкции ограничимся работой с консолью. Вывод в консоль - это часть процесса. . .	SDL3 для Web (WebAssembly): Обработчик клика мыши в браузере ПК и касания экрана в браузере на мобильном устройстве 8Observer8 02.02.2026 Содержание блога Для начала пошагово создадим рабочий пример для подготовки к экспериментам в браузере ПК и в браузере мобильного устройства. Потом напишем обработчик клика мыши и обработчик. . .	Философия технологии iceja 01.02.2026 На мой взгляд у человека в технических проектах остается роль генерального директора. Все остальное нейронки делают уже лучше человека. Они не могут нести предпринимательские риски, не могут. . .

Закрыть tcp/udp 445 порт на srx650

Решение

Решение

@1rkutsk 0 / 0 / 0 Регистрация: 09.08.2017 Сообщений: 5

	Закрыть tcp/udp 445 порт на srx650 09.08.2017, 09:19. Показов 5122. Ответов 10 Метки нет (Все метки) Подскажите, как именно реализуется закрытие портов в данном оборудование? зона используется только одна (trust), как понял нужно правило из зоны trust в trust запрет на прохождение 445. в той же циске проще закрывать порты, к примеру 8080: access-list 120 deny tcp host 10.43.0.27 gt 1023 any eq www 0

@MonaxGT 278 / 278 / 25 Регистрация: 02.08.2012 Сообщений: 1,232
	09.08.2017, 10:52
	1rkutsk, чуть выше есть прикрепленные темы, специально для тех кто не знает. Security [Security Zones, Security Policies] Там я расписывал логику настройки. Вообще все зависит от целей, правильно заблокировать с помощью sec policy(ZBF на Cisco), но если у вас она выключена и не нужна, можно и фильтром (аналог acl) 0

@1rkutsk 0 / 0 / 0 Регистрация: 09.08.2017 Сообщений: 5
	09.08.2017, 11:08 [ТС]
	MonaxGT, интересует именно аналог acl. можно хоть какой нибудь пример, не особо понимаю синтаксис, как прописать в cli 0

@MonaxGT 278 / 278 / 25 Регистрация: 02.08.2012 Сообщений: 1,232
	09.08.2017, 12:50
	1rkutsk, Я вижу Вы отчаянно не желаете использовать глобальную сеть поиска для поиска ответов) Вот пример Официальная инстуркция здесь и здесь А если Вам и читать лень, то вот ролик официальный))) 1

@1rkutsk 0 / 0 / 0 Регистрация: 09.08.2017 Сообщений: 5
	14.08.2017, 04:46 [ТС]
	Извиняюсь за глупый вопрос, не удается посадить фильтр на порт.. set interfaces ge-0/0/0 unit 0 family ethernet-switching filter не знает такой команды! а set interfaces ge-0/0/0 unit 0 family inet filter и т.д. проходит, но когда привязываешь к порту, говорит что не та family (все порты работают в ethernet-switching) что не так делаю? 0

@MonaxGT 278 / 278 / 25 Регистрация: 02.08.2012 Сообщений: 1,232
	14.08.2017, 10:32
	Сообщение было отмечено 1rkutsk как решение Решение 1rkutsk, прикольно, Но Вы пытается на порт, что работает на втором уровне навесить правило, что работает на третьем) Вам надо вещать фильтр или на intervlan интерфейсе или перевести интерфейс на третий уровень в inet семью. Inet - третий уровень ethernet-switching - второй 1

@1rkutsk 0 / 0 / 0 Регистрация: 09.08.2017 Сообщений: 5
	05.09.2017, 06:30 [ТС]
	Спасибо! Возник ещё один вопрос. Если я создал два фильтра в firewall, один откидывает 445 порт, второй пропускает пинг только с одного ip адреса, оба фильтра имеют по 2 терма. Возможно ли на порт повешать сразу два фильтра (пока это не удается, если через консоль, то действует последнее введенное правило) ? 0

@MonaxGT 278 / 278 / 25 Регистрация: 02.08.2012 Сообщений: 1,232
	05.09.2017, 10:35
	1rkutsk, То что Вы хотите называтся фильтр лист, можно навесить, но а смысл? Правильнее использовать 1 ACL с разными термами и описанием каждого терма 0

@vertex4 69 / 63 / 18 Регистрация: 01.08.2017 Сообщений: 232
	05.09.2017, 11:10
	1rkutsk, Я же написал, используй вместо input - input-list! MonaxGT, Это не удобно, когда правила совпадают по термам, и всего лишь небольшое отличие. Писать под каждый чих новый фильтр - замучаешься. 0