Новые ответы

juniper packet mode -запрещающее правило,

tester0, 06-Окт-16, 18:22 [смотреть все]

добрый день
juniper srx 240
пытаюсь запретить с сервера ходить в интернет:
схема:
интернет-----(ge-0/0/0 | ge-0/0/1)-------server
создаю запрещающее правило:
term server1 {
            from {
                source-address {
                    X.X.X.X/32;
                }
                destination-port [ 80 443 ];
            }
            then {
                discard;
            }

и оно не работает!
в какую сторону копать?
ps: filter подключен к интерфейсу ge-0/0/0, правило первое в списке, другие запрещающие и разрешающие правила работают...

Ответить | Сообщить модератору

juniper packet mode -запрещающее правило, anonymous, 19:07 , 06-Окт-16 (1)
sh conf int ge-0/0/0
sh conf int ge-0/0/1
Ответить | Сообщить модератору

juniper packet mode -запрещающее правило, tester0, 21:00 , 06-Окт-16 (2)
show interfaces ge-0/0/0
vlan-tagging;
unit 437 {
    vlan-id 437;
    family inet {
        filter {
            input local_acl1;
        }
        address Z.Z.Z.Z/29;
    }
}
show interfaces ge-0/0/1
vlan-tagging;
unit 0 {
    vlan-id 1437;
    family inet {
        address A.A.A.A/27;
        address B.B.B.1/26;   <----directly connected to server
        address C.C.C.C/24;
    }
}

Ответить | Сообщить модератору

juniper packet mode -запрещающее правило, anonymous, 22:27 , 06-Окт-16 (3)
Вы ждёте пакет от своего сервака как входящий на порту с интернетом.
Ответить | Сообщить модератору

juniper packet mode -запрещающее правило, tester0, 10:45 , 07-Окт-16 (4)
> Вы ждёте пакет от своего сервака как входящий на порту с интернетом.
это надо делать на ge-0/0/1 ?
или как правильно?
Ответить | Сообщить модератору

juniper packet mode -запрещающее правило, anonymous, 11:58 , 07-Окт-16 (5)
Ну да, или на ge-0/0/1, или на том же порту 0/0/0 поменять фильтр input на output.
Ответить | Сообщить модератору

juniper packet mode -запрещающее правило, tester0, 14:40 , 07-Окт-16 (6)
все получилось, спасибо!
Ответить | Сообщить модератору