Juniper srx新增接口IP,使PC直连srx

最新推荐文章于 2024-06-27 16:03:47 发布
最新推荐文章于 2024-06-27 16:03:47 发布
阅读量1.4k 收藏 1
点赞数
原文链接:https://juejin.im/post/5bfc0768e51d4561a86c0de2
版权

概述

需求为PC直连srx防火墙,配置互联IP,并允许PC访问untrust区域,能够访问互联网 本例中防火墙新增地址 10.1.1.1/30 PC配置IP:10.1.1.2/30 gateway:10.1.1.1

说明

用户视图:root@srx>
配置视图:root@srx#
配置视图:root@srx# run show config
run 表示在用户视图下执行命令 root@srx# show #查看当前的配置,注意这里是已配置上的,但不一定生效
root@srx# run show config #查看当前已生效的配置
root@srx> show config #查看当前已生效的配置

配置步骤

  1. 检查现有的端口IP root@srx> show interfaces terse 找一个不冲突的IP
  2. 查看路由表 找到IP后,再查看路由表是否有去到这个网段的路由,没有则为正常,如果有就不应使用这个地址 root@srx> show route
  3. 配置接口IP和区域 set interfaces ge-0/0/2 unit 0 family inet address 10.1.1.1/30 set security zones security-zone trust interfaces ge-0/0/2 #为方便配置,将该接口添加进已有的区域,本例为trust区域
  4. 验证是否配置源NAT
root@srx# run show security nat source summary  #查看现有的源NAT策略
Total port number usage for port translation pool: 0
Maximum port number for port translation pool: 67108864
Total pools: 0

Total rules: 7
Rule name          Rule set       From              To                   Action
1                  trust-to-untrust trust           untrust              interface
复制代码
root@srx# run show security nat source rule 1 
 
source NAT rule: 1                    Rule-set: trust-to-untrust 
  Rule-Id                    : 1  
  Rule position              : 1
  From zone                  : trust
  To zone                    : untrust
  Match
    Source addresses         : 0.0.0.0         - 255.255.255.255  #源地址已匹配any
    Destination addresses    : 0.0.0.0         - 255.255.255.255
    Destination port         : 0               - 0
  Action                        : interface 
    Persistent NAT type         : N/A              
    Persistent NAT mapping type : address-port-mapping 
    Inactivity timeout          : 0
    Max session number          : 0 
  Translation hits           : 111
复制代码
  1. 验证安全策略是否放行trust->untrust
root@srx# run show security policies from-zone trust to-zone untrust    
From zone: trust, To zone: untrust
  Policy: ABC, State: enabled, Index: 18, Scope Policy: 0, Sequence number: 1
    Source addresses: OFFICE_Set  #仅放行了OFFICE_Set 这个address book的地址段
    Destination addresses: any
    Applications: any
    Action: permit
  Policy: 1, State: enabled, Index: 6, Scope Policy: 0, Sequence number: 2
    Source addresses: any
    Destination addresses: any
    Applications: any
    Action: deny
复制代码

需要新增address-book root@srx# set security zones security-zone trust address-book address test_add 10.1.1.2 新增策略

set security policies from-zone trust to-zone untrust policy 2 match source-address test_add
set security policies from-zone trust to-zone untrust policy 2 match destination-address any
set security policies from-zone trust to-zone untrust policy 2 match application any
set security policies from-zone trust to-zone untrust policy 2 then permit
复制代码

查看策略的配置顺序

root@srx# show security policies from-zone trust to-zone untrust | display set
set security policies from-zone trust to-zone untrust policy 1 match source-address any
set security policies from-zone trust to-zone untrust policy 1 match destination-address any
set security policies from-zone trust to-zone untrust policy 1 match application any
set security policies from-zone trust to-zone untrust policy 1 then deny
set security policies from-zone trust to-zone untrust policy 2 match source-address test_add
set security policies from-zone trust to-zone untrust policy 2 match destination-address any
set security policies from-zone trust to-zone untrust policy 2 match application any
set security policies from-zone trust to-zone untrust policy 2 then permit
复制代码

如上所示,可以看到新增的policy2在下边,这样会先匹配到policy 1,被deny掉 所以需要改变策略的顺序,用如下命令 insert security policies from-zone trust to-zone untrust policy 2 before policy 1
6. 提交配置 root@srx# commit

weixin_34190136
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Juniper SRX防火墙简明配置手册
12-13
Juniper SRX防火墙简明配置手册
Juniper SRX 简单命令一
Tyrant的博客
07-04 2万+
Juniper为人所熟悉的一定是从netscreen开始的,作为一线防火墙品牌,还是有很高的地位。但是以前玩netscreen,都是用的网页版去配置,而且网页版做得很不错。但是现在netscreen要开始淘汰,取而代之的是SRX系列防火墙,这个家伙的网页版就是个渣,没事卡一下已经算是客气的了,很有可能卡完以后,他就再也进不去了,必须去重启这个进程,而且页面逻辑性极差,所以我也开始了SRX命令配置的
Juniper常用命令
萌新包大人的博客
05-20 7509
配置模式说明: Junos就是srx的系统名字,他是一个深度定制的linux/unix 1、root@%-----------------shell模式,这里你可以使用一些linux的命令去做一些操作 root@% ls .cshrc .login .profile root@% pwd /cf/root root@% cat .profile #$FreeBS...
juniper SRX 基础上网配置
最新发布
qq_865427251的博客
06-27 659
juniper基础上网配置
Juniper链路及接口配置
achejq的专栏
07-07 1万+
物理接口IP配置 interfaces {             xe-0/0/0 {                             unit 0 {             family inet {                 address
Juniper设备日常操作指南
Jian Sun_的博客
07-28 5758
juniper设备日常操作指南
juniper SRX防火墙配置详解
热门推荐
qq_22193519的博客
10-23 2万+
一、JUNOS 操作系统介绍 JUNOS 集成了路由、交换、安全性和一系列丰富的网络服务。目前 Juniper 公司的全系列路由器产品、交换机产品和 SRX 安全产品均采用统一源代码的 JUNOS 操作系统,JUNOS 是全球首款将转发与控制功能相隔离,并采用模块化软件架构的网络操作系统。JUNOS 采用基于 FreeBSD 内核的软件模块化操作系统,支持 CLI 命令行和 WEBUI 两种设...
Juniper SRX防火墙故障排查命令指导
06-30
Juniper-SRX防火墙包含低中高型号,不管是SRX100,还是SRX5800,都是基于Junos操作系统,因此在操作和配置上并无明显差别。当防火墙遇到故障时,部分型号也有些排查的命令可能不被支持,但此文档也作了一定的区分...
JuniperSRX系列防火墙最全的中文配置手册
02-13
JuniperSRX系列防火墙最全的中文配置手册,涵盖了SRX防火墙所有功能CLI配置语句
JUNIPER SRX配置手册(中文)
05-15
JUNIPER SRX系列防火墙中文配置手册,官方版本. 包括junOS概述,端口配置,策略配置等
Juniper SRX JUNOS 固件
03-29
【标题】"Juniper SRX JUNOS 固件"涉及的是Juniper Networks的SRX系列设备的操作系统更新,即JUNOS软件。JUNOS是Juniper为他们的网络设备设计的一种专有操作系统,用于路由、交换和安全应用。SRX系列是其网络安全...
Juniper EX MAC-IP绑定方案
09-02
JUNIPER EX’S MAC-IP绑定不管在baidu还是google都是找不到的,应该属全球首发 by 杨柳依
juniper常用命令(二)
weixin_30588729的博客
12-08 1442
Juniper防火墙基本命令 常用查看命令 Get int查看接口配置信息 Get int ethx/x查看指定接口配置信息 Get mip查看映射ip关系 Get route查看路由表 Get policy id x查看指定策略 Get nsrp查看nsrp信息,后可接参数查看具体vsd组、端口监控设置等 Get per cpu de查看cpu利用率...
JUNOS操作命令
weixin_42391891的博客
03-30 1317
show configuration vlans | display set 可视化看配置 show arp | match 10.10.1. juniper查ARP表 show arp | match irb.2 show virtual-chassis vc-port juniper查看vc接口 show configuration vlans | display set juniper查看vlan配置 show confi...
juniper srx接口IP安全
weixin_33858485的博客
07-27 211
为保证防火墙接口IP的安全,将防火墙的内网IP的22端口映射其它公网113.106.95.x的1021端口,平常外网通过113.106.95.x的1021端口访问操作防火墙: set security zones security-zone trust address-book address juniper2541 192.168.254.1/32 #建立元素 ...
juniper常用命令
weixin_30781107的博客
07-14 1035
Juniper防火墙基本命令 get interface ethernet0/0 查看 端口 常用查看命令 Get int 查看接口配置信息 Get int ethx/x 查看指定接口配置信息 Get mip查看映射ip关系 Get route查看路由表 Get policy id x查看指定策略 Get nsrp查看nsrp信息,后可接参数查看具体vsd组...
juniper设备日常操作指南
weixin_45537413的博客
05-27 1万+
1、日常show操作 # show 查看所有配置 # show | display set 查看set格式的所有配置 # show system | display set 查看set格式的system层级配置 # show system login | display set 查看set格式的system层级下的login层级配置 # run show version # run show route 1.1.1.1 # run ping 1.1.1.1 在配置模式下运行操作模式命令,前面加
74 Juniper SRX340防火墙初始化配置
Jian Sun_的博客
04-19 1956
set system host-name SRX340-XX set system root-authentication plain-text-password set system login class wheel idle-timeout 60 set system login class wheel permissions all set system login user admin uid 2000 set system login user admin class wheel set.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值