作業環境
- 型番:SRX100H2
- バージョン:12.1X44-D45
管理アクセスの送信元 IP を制限する
設定手順は以下の通りです。
- 管理アクセス元の IP アドレスをプレフィックスリストで定義する
- 1. で定義した IP 以外からの管理アクセスを拒否する Firewall フィルタを定義する
- 2. で定義した Firewall フィルタをループバックインターフェースへ適用する
プレフィックスリストの定義
まず管理アクセス元の IP アドレスをプレフィックスリストで定義します。
例:
- プレフィックスリスト名:
manager-ip - IP セグメント:
- 10.1.10.0/24
- 192.168.1.0/24
set policy-options prefix-list manager-ip 10.1.10.0/24
set policy-options prefix-list manager-ip 192.168.1.0/24Firewall フィルタの定義
以下の内容の Firewall フィルタを定義します。
- フィルタ名:
FILTER1 - term:
- block_non_manager
- 対象送信元として 0.0.0.0/0(すべての IP)を指定
- 対象送信元から
manager-ipを除外 - 対象送信元プロトコル TCP を指定
- 宛先ポート SSH を指定
- 宛先ポート HTTPS を指定
- 宛先ポート TELNET を指定
- 宛先ポート HTTP を指定
- アクションとして discard(拒否)を指定
- accept_everything_else
- その他のすべての通信を accept(許可)
- block_non_manager
set firewall filter FILTER1 term block_non_manager from source-address 0.0.0.0/0
set firewall filter FILTER1 term block_non_manager from source-prefix-list manager-ip except
set firewall filter FILTER1 term block_non_manager from protocol tcp
set firewall filter FILTER1 term block_non_manager from destination-port ssh
set firewall filter FILTER1 term block_non_manager from destination-port https
set firewall filter FILTER1 term block_non_manager from destination-port telnet
set firewall filter FILTER1 term block_non_manager from destination-port http
set firewall filter FILTER1 term block_non_manager then discard
set firewall filter FILTER1 term accept_everything_else then acceptFirewall フィルタをループバックインターフェースへ適用
前項で定義した Firewall フィルタ FILTER1 をループバックインターフェース lo0 に適用します。
set interfaces lo0 unit 0 family inet filter input FILTER1動作確認
設定後、想定通りに管理アクセスが拒否/許可されることを動作確認してください。
参考資料
例:ジュニパーネットワークス デバイスの管理アクセスの制御 | Juniper Networks
当社のコンテンツテストチームは、この例を検証し、更新しました。
www.juniper.net
―――――――――――――
