Professional Documents
Culture Documents
+
+
+
+
+
+
+
+
+
+
+
///////////////////////////////////////////////////
Comandos \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\
lmoreno@miSRX> configure
Entering configuration mode
[edit]
lmoreno@miSRX# load merge terminal
[Type ^D at a new line to end input]
-- Guardar configuracin en un servidor remoto mediante scp para hacer un respaldo backup,
en modo de configuracin teclear el comando: savescp://usuario@host/ruta/nombrearchivo
ejemplo:
[edit]
lmoreno@miSRX# save scp://lmoreno@192.168.16.20/home/lmoren ... 638.config
lmoreno@192.168.16.20's password:
tempfile 100% 4075 4.0KB/s 00:00
Wrote 176 lines of configuration to
'scp://lmoreno@192.168.16.20/home/lmoreno/junosbck/201002221638.config'
La configuracin se guarda en texto claro en el destino lo cual es til para revisarla pero
tambien es inseguro, as que donde guardes la configuracin debe ser un recurso que asegures
para evitar que tus configuraciones esten expuestas.
-- Guarda la configuracin de rescate para que pueda ser usada en un futuro,
request system configuration rescue save
-- Borra la configuracin actual de de rescate
request system configuration rescue delete
-- Automatizar respaldos (backups), el equipo enviar el respaldo a un servidor SCP remoto
automticamente cada vez que se aplique un commit, tambien puede ser modificado para
usar ftp en lugar de scp, tan solo con cambiar scp por ftp en el comando.
lmoreno@miSRX> configure
Entering configuration mode
[edit]
lmoreno@miSRX# edit system archival
[edit system archival]
lmoreno@miSRX# set configuration archive-sites
"scp://lmoreno@192.168.16.59/home/lmoreno/junosbckauto" password miPassw0rd!
The authenticity of host '192.168.16.50 (192.168.16.50)' can't be established.
RSA key fingerprint is c0:30:25:65:33:41:77:76:25:7d:66:e9:9d:4f:23:f7.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.16.50' (RSA) to the list of known hosts.
[edit system archival]
lmoreno@miSRX# set configuration transfer-on-commit
[edit system archival]
lmoreno@miSRX# commit and-quit
commit complete
Exiting configuration mode
-- Para monitorear las transferencias de configuracin automticas
lmoreno@miSRX> show log messages | match transfer
-- Crear una ruta esttica hacia un proveedor de internet ISP en este caso 8.8.8.8 con
mascara de 29 bits,
[edit routing-options]
lmoreno@miSRX# set static route 0/0 next-hop 2.1.1.1
0/0 = 0.0.0.0/0 o cualquier IP
kernel o panic
lmoreno@miSRX> show log messages | match "error|kernerl|panic"
-- Para monitorear los mensajes en tiempo real
lmoreno@miSRX> monitor start messages
lmoreno@miSRX>
*** messages ***
Feb 23 18:20:34 miSRX sshd[4199]: Failed password for sandwich from 192.168.16.59 port
13170 ssh2
Feb 23 18:20:39 miSRX sshd[4199]: Failed password for sandwich from 192.168.16.59 port
13170 ssh2
Para detener e iniciar salida syslog presionar Esq + q
-- Limpiar log o tracefile
clear log nombre-de-archivo
-- Para borrar archivo log o tracefile
file delete nombre-de-archivo
-- Habilitar SNMP para monitoreo
lmoreno@miSRX> configure
Entering configuration mode
[edit]
lmoreno@miSRX# edit snmp
[edit snmp]
lmoreno@miSRX# set description "miSRX"
[edit snmp]
lmoreno@miSRX# set location "Site Principal"
[edit snmp]
lmoreno@miSRX# set contact "Luis Moreno x15005"
[edit snmp]
lmoreno@miSRX# set community MiComunidad authorization read-only clients
192.168.16.64/32
[edit snmp]
lmoreno@miSRX# set trap-group miGrupodetraps version v2 categories chassis link startup
authentication configuration
[edit snmp]
lmoreno@miSRX# set trap-group miGrupodetraps targets 192.168.16.64
La configuracin final quedara as:
[edit snmp]
lmoreno@miSRX# show
description miSRX;
location "Site Principal";
contact "Luis Moreno x15005";
community MiComunidad {
authorization read-only;
clients {
192.168.16.64/32;
}
}
trap-group miGrupodetraps {
version v2;
categories {
authentication;
chassis;
link;
startup;
configuration;
}
targets {
192.168.16.64;
}
}
-- Ver temperatura estado de ventiladores
show chassis environment
-- Ver temperatura utilizacin de memoria, CPU
show chassis routing-engine
-- Ver detalles sobre los componentes de hardware, nmero de serie, etc.
show chassis hardware
-- Instalar licencias directamente desde servidores Juniper
request system license update
-- Ver el estado de las licencias, licencias instaladas
show system licence
-- Ver el nmero de sesiones mximo para el dispositivo
lmoreno@miSRX> show security flow session summary
-- Eliminar el acceso al cli mediante telnet por ser un protocolo inseguro, en modo de
configuracin:
delete security zones security-zone trust interfaces ge-0/0/0 host-inbound-traffic systemservices telnet
-- Configurar Horarios para ser aplicados a polticas, por ejemplo se puede crear un scheduler
para que durante horas de oficina no se pueda acceder a sitios de redes sociales.
Para configurar un scheduler (horario) empleando el CLI:
1.- Para crear un horario que va de las 8 AM a las 9 PM todos los das de la semana, que inicia
en Marzo 1 2010 hasta Abril 1, 2011, exepto sbado y domingo.
lmoreno@miSRX# set schedulers scheduler horario1 start-date 2010-03-01.08:00 stop-date
2011-04-01.21:00
lmoreno@miSRX# set schedulers scheduler horario1 saturday exclude
lmoreno@miSRX# set schedulers scheduler horario1 sunday exclude
2.- El siguiente comando asocia el schedule a la poltica, permitiendo acceso durante horas
de oficina.
lmoreno@miSRX# set security policies from-zone trust to-zone untrust policy horas-de-oficina
scheduler-name horario1
lmoreno@miSRX# commit
-- Verificar si el policy template existe en la configuracin
[edit]
lmoreno@miSRX# edit security idp
[edit security idp]
lmoreno@miSRX# set active-policy ?
Possible completions:
<active-policy> Set active policy
Recommended
-- Configurar la poltica de IDP Recommended como la poltica activa
[edit security idp]
lmoreno@miSRX# set active-policy Recommended
-- Desactivar el "commit script" para que no sobre-escriba las modificaciones que se le hagan
al template.
[edit system scripts commit]
lmoreno@miSRX# deactivate file templates.xsl
-- Ver el contenido o las polticas del template Recommended
[edit security idp]
lmoreno@miSRX# show idp-policy Recommended
-- Para eliminar una regla del template Recommended (u otro que se desee) por ejemplo la
regla 5
[edit security idp]
lmoreno@miSRX# delete idp-policy Recommended rulebase-ips rule 5
-- Aplicar idp a poltica existente
[edit security policies from-zone untrust to-zone miDMZ policy dst-nat-web]
lmoreno@miSRX# set then permit application-services idp
[edit security policies from-zone untrust to-zone miDMZ policy dst-nat-web]
lmoreno@miSRX# commit
commit complete
-- Monitorear la operacin del IDP
lmoreno@miSRX> show security policies policy-name dst-nat-web detail
Policy: dst-nat-web, action-type: permit, State: enabled, Index: 8
Sequence number: 1
From zone: untrust, To zone: dsDMZ
Source addresses:
any: 0.0.0.0/0
Destination addresses:
webserver: 10.2.77.2/32
Application: junos-http
IP protocol: tcp, ALG: 0, Inactivity timeout: 1800
Source port range: [0-0]
Destination port range: [80-80]
utm-policy web-filter;
}
}
}
}
--> Monitorear el Web Filtering
-- Para ver el estado del web filtering
lmoreno@miSRX> show security utm web-filtering status
UTM web-filtering status:
Server status: SC-CPA server up
-- Para ver las estadsticas del web filtering
lmoreno@miSRX> show security utm web-filtering statistics
UTM web-filtering statistics:
Total requests: 646
white list hit: 77
Black list hit: 4
Queries to server: 516
Server reply permit: 486
Server reply block: 30
Custom category permit: 0
Custom category block: 0
Cache hit permit: 13
Cache hit block: 36
Web-filtering sessions in total: 4000
Web-filtering sessions in use: 1
Fall back: log-and-permit block
Default 0 0
Timeout 0 0
Connectivity 0 0
Too-many-requests 0 0
set
set
set
set
}
Hate_Speech {
action block;
}
Personals_Dating {
action log-and-permit;
}
Remote_Proxies {
action block;
}
Sex_Education {
action log-and-permit;
}
Violence {
action block;
}
Weapons {
action block;
}
}
default permit;
custom-block-message "El sitio solicitado no parece ser un sitio relacionado al negocio, favor
de contactar a soporte tcnico ext 199";
}
}
}
}
utm-policy web-filter {
web-filtering {
http-profile junos-wf-cpa-default;
}
}
utm-policy wf-bloqueo-personalizado {
web-filtering {
http-profile bloqueo-seleccionado;
}
}
--> Proxy-arp
[edit security nat]
lmoreno@miSRX# show
...Configuracin extra omitida...
}
proxy-arp {
interface ge-0/0/0.0 {
address {
2.1.1.100/32;
}
}
}
--> Poltica
[edit security policies from-zone untrust to-zone miDMZ]
lmoreno@miSRX# show
policy dst-nat-web {
match {
source-address any;
destination-address webserver;
application http-8000;
}
then {
permit;
}
}
+++++++++++ FIN Destination NAT con PAT - como un port forwarding o mapeo de puertos en
SRX210 para publicar un servidor Web al mundo exterior
-- Crear una nueva aplicacin protocolo tcp puerto 22 y un timeout de 3600 segundos
lmoreno@miSRX> edit
lmoreno@miSRX# set applications application my-ssh protocol tcp
lmoreno@miSRX# set applications application my-ssh destination-port 22
lmoreno@miSRX# set applications application my-ssh inactivity-timeout 3600
lmoreno@miSRX> edit
lmoreno@miSRX# set applications application RDP protocol tcp
lmoreno@miSRX# set applications application RDP destination-port 3389
-- Ver las aplicaciones por default o "application sets" por ejemplo junos-http, junos-ssh,
junos-https, junos-telnet, junos-ftp, etc.
lmoreno@miSRX> show configuration groups junos-defaults applications
+++++++++++ Source NAT para salida a Internet
-- Para realizar un source NAT (para que las PCs de la red interna tengan salida a Internet) de
la zona trust a la zona untrust ejecuta los siguientes 4 comandos, para que el NAT funcione ya
deberan estar creadas las zonas y deber existir una ruta esttica hacia el proveedor de
Internet.
lmoreno@miSRX> configure
lmoreno@miSRX# set security nat source rule-set
lmoreno@miSRX# set security nat source rule-set
lmoreno@miSRX# set security nat source rule-set
address 0.0.0.0/0 destination-address 0.0.0.0/0
lmoreno@miSRX# set security nat source rule-set
interface
************************ ///////////////////////////////////////
Mark as New
Bookmark
Subscribe
Subscribe to RSS Feed
Highlight
Print
Email to a Friend
Report Inappropriate Content
10-27-2008 02:01 AM
Troubleshooting flow
************************ ///////////////////////////////////////
-- Limpiar logs
root@miSRX> request system storage cleanup
List of files to delete:
Size Date Name
355B Mar 17 19:08 /cf/var/jail/tmp/events-table.txt
70B Mar 26 18:16 /cf/var/jail/tmp/jweb-users.xml
113B Mar 22 18:05 /cf/var/jail/tmp/sess_c7eabedffaf83185500872d4b9d80b74df0249ab
10.6K Mar 16 17:33 /cf/var/log/flow-trace.0.gz
12.0K Mar 16 17:32 /cf/var/log/flow-trace.1.gz
173B Mar 23 19:03 /cf/var/log/idpd.addver
1764B Mar 19 22:50 /cf/var/log/idpd_err.20100319
588B Mar 23 19:01 /cf/var/log/idpd_err.20100323