Заблокировать определенный порт на Juniper
Я пытаюсь помочь кому-то, у кого есть Juniper SRX550. Мы хотим заблокировать исходящий порт 53 в пуле DHCP и только исходящий порт 53, за исключением сервера имен, который настроен для пула DHCP (в этом случае IP-адреса установлены на OpenDNS, но я не думаю, что это актуально.
set system services dhcp pool 10.0.0.0/24 name-server 208.67.222.222
Установите сервер имен, но я не смог найти способ заблокировать исходящие DNS, которые не идут на серверы OpenDNS.
Вот как выглядит конфиг в настоящее время:
dhcp {
pool 10.0.0.0/24 {
address-range low 10.0.0.10 high 10.0.0.254;
name-server {
208.67.222.222;
208.67.220.220;
}
router {
10.0.0.1;
}
}
}
2 ответа
Установить политики безопасности из зоны "имя зоны диапазона DHCP" в зону "имя зоны DNS-сервера" сопоставить адрес источника "имя диапазона DHCP в списке адресов"
установить политики безопасности из зоны "имя зоны диапазона DHCP" в зону "имя зоны вашего DNS-сервера" совпадать с адресом назначения "имя DNS-сервера в списке адресов"
установить политики безопасности из зоны "имя зоны диапазона DHCP" в зону "имя зоны DNS-сервера", соответствующее приложению [ junos-dns-tcp junos-dns-udp ]
установить политики безопасности из зоны "имя зоны диапазона DHCP" в зону "имя зоны вашего DNS-сервера", а затем разрешить
установить политику безопасности глобальной политикой DNS_Block сопоставить адрес источника "имя диапазона DHCP в списке адресов"
установить политику безопасности глобальная политика DNS_Block соответствие приложения [ junos-dns-tcp junos-dns-udp ]
установить политики безопасности глобальной политики DNS_Block, затем отрицать
Добавьте правила брандмауэра, которые запрещают порту 53 доступ ко всем IP-адресам, кроме сервера OpenDNS.