Juniper SRX 管理アクセス元 IP を Firewall フィルタで制限する設定

ネットワーク

作業環境

  • 型番:SRX100H2
  • バージョン:12.1X44-D45

管理アクセスの送信元 IP を制限する

設定手順は以下の通りです。

  1. 管理アクセス元の IP アドレスをプレフィックスリストで定義する
  2. 1. で定義した IP 以外からの管理アクセスを拒否する Firewall フィルタを定義する
  3. 2. で定義した Firewall フィルタをループバックインターフェースへ適用する

プレフィックスリストの定義

まず管理アクセス元の IP アドレスをプレフィックスリストで定義します。

例:

  • プレフィックスリスト名:manager-ip
  • IP セグメント:
    • 10.1.10.0/24
    • 192.168.1.0/24
set policy-options prefix-list manager-ip 10.1.10.0/24
set policy-options prefix-list manager-ip 192.168.1.0/24

Firewall フィルタの定義

以下の内容の Firewall フィルタを定義します。

  • フィルタ名:FILTER1
  • term:
    1. block_non_manager
      1. 対象送信元として 0.0.0.0/0(すべての IP)を指定
      2. 対象送信元から manager-ip を除外
      3. 対象送信元プロトコル TCP を指定
      4. 宛先ポート SSH を指定
      5. 宛先ポート HTTPS を指定
      6. 宛先ポート TELNET を指定
      7. 宛先ポート HTTP を指定
      8. アクションとして discard(拒否)を指定
    2. accept_everything_else
      1. その他のすべての通信を accept(許可)
set firewall filter FILTER1 term block_non_manager from source-address 0.0.0.0/0
set firewall filter FILTER1 term block_non_manager from source-prefix-list manager-ip except
set firewall filter FILTER1 term block_non_manager from protocol tcp
set firewall filter FILTER1 term block_non_manager from destination-port ssh
set firewall filter FILTER1 term block_non_manager from destination-port https
set firewall filter FILTER1 term block_non_manager from destination-port telnet
set firewall filter FILTER1 term block_non_manager from destination-port http
set firewall filter FILTER1 term block_non_manager then discard

set firewall filter FILTER1 term accept_everything_else then accept

Firewall フィルタをループバックインターフェースへ適用

前項で定義した Firewall フィルタ FILTER1 をループバックインターフェース lo0 に適用します。

set interfaces lo0 unit 0 family inet filter input FILTER1

動作確認

設定後、想定通りに管理アクセスが拒否/許可されることを動作確認してください。

参考資料

例:SRX シリーズデバイスでの管理アクセスの制御 - TechLibrary - Juniper Networks
SRX Series,vSRX. デバイスを管理できる IP アドレスを制限するには、ファイアウォールフィルターを構成します。このファイアウォールフィルターには、デバイスの管理を許可する IP アドレス以外のすべてのトラフィックを拒否するという条件が含まれている必要があります。このため、ループバックインターフェース (...

―――――――――――――

タイトルとURLをコピーしました