Вы здесь

Juniper. EX ограничение доступа по SSH на коммутатор

У Junniper EX нет возможности разграничивать доступ на VTI.
По умолчанию, если на L3 коммутаторе создано несколько интерфейсов VLAN или IRB, по SSH можно зайти на любой из них.

Для ограничения можно использовать следующую конструкцию:

set firewall family inet filter ssh-filter term permit_ssh from source-address 10.1.3.37/32 set firewall family inet filter ssh-filter term permit_ssh from destination-address 10.2.30.1/32 set firewall family inet filter ssh-filter term permit_ssh from destination-port ssh set firewall family inet filter ssh-filter term permit_ssh then accept set firewall family inet filter ssh-filter term deny_ssh from destination-port ssh set firewall family inet filter ssh-filter term deny_ssh then reject set firewall family inet filter ssh-filter term default_accept then accept set interfaces lo0 unit 0 family inet filter input ssh-filter

Здесь,
10.1.3.37/32 - адрес админа, которому разрешаем доступ
10.2.30.1/32 - один из адресов VLAN коммутатора, на который мы разрешаем доступ
lo0 - не опечатка. Фильтр вешается не на интерфейсы VLAN или IRB, а именно на lo0.

Источник:
https://supportportal.juniper.net/s/article/Junos-How-to-limit-SSH-login...

Добавить комментарий

Filtered HTML

  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Допустимые HTML-теги: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Строки и абзацы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и абзацы переносятся автоматически.
CAPTCHA
Этот вопрос задается для того, чтобы выяснить, являетесь ли Вы человеком или представляете из себя автоматическую спам-рассылку.
Target Image