Poniżej przedstawiam jak ograniczyć dostęp dla wybranej listy sieci oraz hostów do ssh i https dla urządzeń Juniper.
- Definiujemy grupę która będzie miała dostęp do ssh i https
set policy-options prefix-list management-hosts 10.0.0.0/8 set policy-options prefix-list management-hosts 172.16.0.0/12 set policy-options prefix-list management-hosts sieć_public/24
- Definiujemy filtr który blokuje dostęp do ssh oraz https z wykluczeniem grup management-hosts
set firewall family inet filter filter-management term block_unauthorised from source-address 0.0.0.0/0 set firewall family inet filter filter-management term block_unauthorised from source-prefix-list management-hosts except set firewall family inet filter filter-management term block_unauthorised from protocol tcp set firewall family inet filter filter-management term block_unauthorised from destination-port ssh set firewall family inet filter filter-management term block_unauthorised from destination-port https set firewall family inet filter filter-management term block_unauthorised then discard set firewall family inet filter filter-management term accept_default then accept
- Przypinamy filtr do interfejsu loopback 0
set interfaces lo0 unit 0 family inet filter input filter-management
Po tym zabiegu mamy ograniczony dostęp do urządzenia. W kolejnym wpisie przedstawię jak ograniczyć dostęp do usługi IKE