Juniper и ICMP фильтр

@irlandetz · Регистрация: 07.02.2019

Author24 — интернет-сервис помощи студентам

Доброго времени суток. Прошу не ругать, если не по теме и не по адресу. Вообщем есть сеть из двух Juniper и два хоста подключенных к каждому из них. (не спрашивайте зачем и почему это вымышленная сеть необходимая для проекта). Вообщем нужно повесить на внешние порты Junipera фильтр, блокирующий icmp запросы извне, то есть как бы разрешающий только с одного хоста и до другого "на другом конце сети". Вот так выглядит фильтр на одном из Джунов :

Код

filter PING {
    term ICMP_ANSWERS {
        from {
            source-address {
                172.21.103.162/32;
            }
            destination-address {
                172.21.103.161/32;
            }
            protocol icmp;
            icmp-type [ echo-reply unreachable time-exceeded ];
        }
        then {
            discard;
        }
    }
}

и вот так на втором:

Код

filter PING {
    term ICMP_ANSWERS {
        from {
            source-address {
                172.21.103.161/32;
            }
            destination-address {
                172.21.103.162/32;
            }
            protocol icmp;
            icmp-type [ echo-reply unreachable time-exceeded ];
        }
        then {
            discard;
        }
    }
}

Прошу не пинать за неправильное создание темы, если вдруг что не так

@philippiq · 17.07.2021, 05:26

ну и ? приведенные выше фильтры вы сами писали или дядя ?
в вашем случае в фильтре пишем два или более термов и в них то что надо.
первый терм разрешить ICMP откуда надо, второй терм, запретить все остальное ICMP третий терм разрешить оставшееся.

если так не понятно то приложите схемку, а то в сети с двумя хостами и приведенными фильтрами не понятно о каком таком " другом конце сети" идет речь.

@irlandetz 0 / 0 / 0 Регистрация: 07.02.2019 Сообщений: 5
		1
	Juniper и ICMP фильтр 19.04.2021, 22:52. Показов 1137. Ответов 1 Метки нет (Все метки) Доброго времени суток. Прошу не ругать, если не по теме и не по адресу. Вообщем есть сеть из двух Juniper и два хоста подключенных к каждому из них. (не спрашивайте зачем и почему это вымышленная сеть необходимая для проекта). Вообщем нужно повесить на внешние порты Junipera фильтр, блокирующий icmp запросы извне, то есть как бы разрешающий только с одного хоста и до другого "на другом конце сети". Вот так выглядит фильтр на одном из Джунов : Код filter PING { term ICMP_ANSWERS { from { source-address { 172.21.103.162/32; } destination-address { 172.21.103.161/32; } protocol icmp; icmp-type [ echo-reply unreachable time-exceeded ]; } then { discard; } } } и вот так на втором: Код filter PING { term ICMP_ANSWERS { from { source-address { 172.21.103.161/32; } destination-address { 172.21.103.162/32; } protocol icmp; icmp-type [ echo-reply unreachable time-exceeded ]; } then { discard; } } } Прошу не пинать за неправильное создание темы, если вдруг что не так 0

@philippiq 4 / 4 / 0 Регистрация: 17.07.2021 Сообщений: 33
	17.07.2021, 05:26	2
	ну и ? приведенные выше фильтры вы сами писали или дядя ? в вашем случае в фильтре пишем два или более термов и в них то что надо. первый терм разрешить ICMP откуда надо, второй терм, запретить все остальное ICMP третий терм разрешить оставшееся. если так не понятно то приложите схемку, а то в сети с двумя хостами и приведенными фильтрами не понятно о каком таком " другом конце сети" идет речь. 0

Опции темы