Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Comandos Junos
Comandos Junos
Comandos:
Muestra los usuraios que existen el sistema
root>show system users
Ver la informacion del hardware que tiene instalado el switch, en modo de configuracion:
root# run show chassis hardware
Guardar la configuracion
root# commit
MODO CLI
Cuando nos conectamos en el puerto consola nos parece esto:
root@RE:0%_
Es aqui el prompt principal para empezar a trabajar con el equipo, lo primero que
debemos de hacer es teclear esto:
CLI
Para entrar al modo de configuracion del equipo solo basta con escribir este comando:
Configure
Ahora noten que el promp ya cambio:
user@host#
noten que el simbolo ">" ahora paso a ser "#" eso nos idica que ya estamos en el modo de
configuracion y podemos empezar a trabajar con el equipo.
Para poder salir del comodo de configuracion y aplicar los cambios es de la de siguiente
manera:
commit and-quitAhora si queremos salir de todo solo escribimos:
exit
Iniciar el instalador para la confiuracion minima del switchNos conectamso por consola y
escribimos lo sigueinte:
root@:RE:0% ezsetup
1. Enter the hostname. This is optional. (Aqui ponemos el nombre del switch)
2. Enter the root password you plan to use for this device. You are prompted to re-enter
the root password.(Aqui nos pide que ingresemla contraseña para ingresar como usuario
root)
3. Enter yes to enable services like Telnet and SSH. By default, Telnet is not enabled and
SSH is enabled.(Nos pide que si queremos habilitar el telnet y el ssh por default telnet esta
desahbilitado y ssh se habilita para mayor seguridad)
root@PasquelMNVL> request system rebooto si quieren mas comandos que peude usar
con request system solo escirben:
gre:
mtun:
ipip:
tap:
/////////////////////////////////////////////////// Comandos
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\
-- cuenta las lineas que hagan coincidencia (o que coincidan) con down y Physical
show interfaces | match down | match Physical | count
-- Ayuda
help reference system host-name
-- Configuration
para saltarse a la rama principal
top edit protocols ospf
up
up 2
exit
(se puede cambiar el número de rollback para compararlo con otras configuraciónes)
-- Para buscar errores en la operación commit ver los detalles de lo que esta fallando
commit | display detail
-- Para poner un comentario al guardar la configuración y tener una mejor referencia para
futuras consultas
commit comment "Esta config es la buena"
-- Para recuperar una configuración anterior almacenada en los rollback, por ejemplo para
recuperar el rollback número 6 y guardar los cambios y salir
[edit]
lmoreno@miSRX# rollback 6
load complete
[edit]
lmoreno@miSRX# commit and-quit
[edit]
lmoreno@miSRX# save scp://lmoreno@192.168.16.20/home/lmoren ... 638.config
lmoreno@192.168.16.20's password:
tempfile 100% 4075 4.0KB/s 00:00
Wrote 176 lines of configuration to
'scp://lmoreno@192.168.16.20/home/lmoreno/junosbck/201002221638.config'
La configuración se guarda en texto claro en el destino lo cual es útil para revisarla pero
tambien es inseguro, así que donde guardes la configuración debe ser un recurso que
asegures para evitar que tus configuraciones esten expuestas.
[edit]
lmoreno@miSRX# edit system archival
-- ver el log
sh log messages
-- Crear una ruta estática hacia un proveedor de internet ISP en este caso 8.8.8.8 con
mascara de 29 bits,
[edit routing-options]
lmoreno@miSRX# set static route 0/0 next-hop 2.1.1.1
[edit]
lmoreno@miSRX# edit system
[edit system]
lmoreno@miSRX# set time-zone America/Mexico_City
[edit system]
lmoreno@miSRX# run set date 201002231712.25 (aquí va en formato
YYYYMMDDhhmm.ss)
Tue Feb 23 17:12:25 CST 2010
[edit system]
lmoreno@miSRX# commit
commit complete
-- El poder de Junos para filtrar información es excelente por ejemplo para ver los logs y
filtrar los resultados por ejemplo ver quien apagó el equipo o quién intento entrar con un
usuario o password inválido
lmoreno@miSRX> show log messages | match power-down
lmoreno@miSRX> show log messages | match "Failed password"
-- Es posible usar terminos y combinarlos para tener opciones tipo AND por ejemplo para
buscar los eventos del día 23 de febrero y que tienen que ver con passwords fallidos y que
son de una IP especifica y que intentaron entrar con usuario root
lmoreno@miSRX> show log messages | find "Feb 23" | match 192.168.16.59 | match root
-- Para opciones de tipo OR por ejemplo ver los mensajes que incluyan las palabras error o
kernel o panic
lmoreno@miSRX> show log messages | match "error|kernerl|panic"
lmoreno@miSRX>
*** messages ***
Feb 23 18:20:34 miSRX sshd[4199]: Failed password for sandwich from 192.168.16.59 port
13170 ssh2
Feb 23 18:20:39 miSRX sshd[4199]: Failed password for sandwich from 192.168.16.59 port
13170 ssh2
[edit]
lmoreno@miSRX# edit snmp
[edit snmp]
lmoreno@miSRX# set description "miSRX"
[edit snmp]
lmoreno@miSRX# set location "Site Principal"
[edit snmp]
lmoreno@miSRX# set contact "Luis Moreno x15005"
[edit snmp]
lmoreno@miSRX# set community MiComunidad authorization read-only clients
192.168.16.64/32
[edit snmp]
lmoreno@miSRX# set trap-group miGrupodetraps version v2 categories chassis link
startup authentication configuration
[edit snmp]
lmoreno@miSRX# set trap-group miGrupodetraps targets 192.168.16.64
[edit snmp]
lmoreno@miSRX# show
description miSRX;
location "Site Principal";
contact "Luis Moreno x15005";
community MiComunidad {
authorization read-only;
clients {
192.168.16.64/32;
}
}
trap-group miGrupodetraps {
version v2;
categories {
authentication;
chassis;
link;
startup;
configuration;
}
targets {
192.168.16.64;
}
}
-- Configurar Horarios para ser aplicados a políticas, por ejemplo se puede crear un
scheduler para que durante horas de oficina no se pueda acceder a sitios de redes
sociales.
Para configurar un scheduler (horario) empleando el CLI:
1.- Para crear un horario que va de las 8 AM a las 9 PM todos los días de la semana, que
inicia en Marzo 1 2010 hasta Abril 1, 2011, exepto sábado y domingo.
lmoreno@miSRX# set schedulers scheduler horario1 start-date 2010-03-01.08:00 stop-
date 2011-04-01.21:00
lmoreno@miSRX# set schedulers scheduler horario1 saturday exclude
lmoreno@miSRX# set schedulers scheduler horario1 sunday exclude
2.- El siguiente comando asocia el schedule a la política, permitiendo acceso durante horas
de oficina.
lmoreno@miSRX# set security policies from-zone trust to-zone untrust policy horas-de-
oficina scheduler-name horario1
-- Ver en el log los mensajes que coinciden con las opciones de SCREEN
lmoreno@miSRX> show log messages | match RT_SCREEN
-- Para poder descargar actualizaciones de Juniper es necesario contar con una licencia
válida, para checar las licencias instaladas en el equipo
lmoreno@miSRX> show system license
-- Para descargar las actualizaciones de IDP una vez que se confirmó la existencia de una
licencia
lmoreno@miSRX> request security idp security-package download full-update
-- Ver la versión de la base de datos de IDP del servidor de Juniper, útil para verificar
conectividad con el servidor y comparar contra la versión instalada
lmoreno@miSRX> request security idp security-package download check-server
-- Instalar la política "Recommended IDP policy" que es una política genérica que puede
ser útil en la mayoría de los casos
lmoreno@miSRX> request security idp security-package download policy-templates
Will be processed in async mode. Check the status using the status checking CLI
[edit]
lmoreno@miSRX# set system scripts commit file templates.xsl
[edit]
lmoreno@miSRX# commit
-- Para eliminar una regla del template Recommended (u otro que se desee) por ejemplo
la regla 5
[edit security idp]
lmoreno@miSRX# delete idp-policy Recommended rulebase-ips rule 5
Flow Statistics:
ICMP: [Current: 0] [Max: 0 @ 2010-03-16 12:06:06 CST]
TCP: [Current: 0] [Max: 0 @ 2010-03-16 12:06:06 CST]
UDP: [Current: 0] [Max: 0 @ 2010-03-16 12:06:06 CST]
Other: [Current: 0] [Max: 0 @ 2010-03-16 12:06:06 CST]
Session Statistics:
[ICMP: 0] [TCP: 0] [UDP: 0] [Other: 0]
Policy Name : Recommended v0
Running Detector Version : 10.3.160100209
-- Para ver los grupos de ataques predeterminados (predefined attack group) en el IDP
lmoreno@miSRX> file show /var/db/idpd/sec-repository/attack-group.list
-- Para filtrar un un grupo en especifico por ejemplo P2P ejecuta el siguiente comando
lmoreno@miSRX> file show /var/db/idpd/sec-repository/attack-group.list | grep p2p | no-
more
Configurar Integrated Web Filtering con whitelist y blacklist y perfil por default junos-wf-
cpa-default
Con esta configuración configurarás tu SRX para que puedas emplear el Web Filtering
integrado con SurfControl y podrás emplear listas blancas para dar acceso a páginas que
desees excluir del filtrado e incluir otras que no esten siendo filtradas pero por su
naturaleza no te convenga tenerlas habilitadas.
Para configurar un Web Filtering local usando el CLI, primero debes crear objetos
personalizados (custom objects)
a) Configura un URL pattern list (lista de patrones URL) creando un nombre de lista (list
name) y agregando valores como se muestra a continuación.
[edit]
lmoreno@miSRX# set security utm custom-objects url-pattern lista01-url value
[http://www.playboy.com]
lmoreno@miSRX# set security utm custom-objects url-pattern lista02-url value
[http://www.penthouse.com]
Se pueden usar wildcards como sigue: \*\.[]\?* y debes preceder todos los wildcards con
http:// Solo puedes usar "*" si se encuentra al inicio del URL y esta seguido por un punto
"." y solo puedes usar "?" si se encuentra al final del URL
La siguiente sintaxis es
soportada: http://*.juniper.net, http://www.juniper.ne?,http://www.juniper.n?? Lo
siguiente no es soportado:
*.juniper.net, http://www.juniper.ne?,http://*juniper.net, http://*
b) Configurar una lista de categoría URL personalizada empleando el pattern list que se
creó
[edit]
lmoreno@miSRX# set security utm custom-objects custom-url-category categoria-url01
value lista01-url
lmoreno@miSRX# set security utm custom-objects custom-url-category categoria-url02
value lista02-url
Ahora que los objetos personalizados han sido creados, puedes configurar el perfil de Web
filtering llamado surf-control-integrated
1.- Si estás usando las categorias whitelist y blacklist que se incluyen, selecciona esas
categorías globales. Estas son las primeras categoría que tanto la integrated, redirect y
local emplean. Si no se encuentra coincidencia en estas listas se envía el URL al servidor de
SurfControl.
4.- Establece el timeout (tiempo de vida) para el cache máximo 1800 segundos
[edit]
lmoreno@miSRX# set security utm feature-profile web-filtering surf-control-integrated
cache timeout 1800
5.- Define la política UTM para HTTP (web-filter) y anexa esta política al perfil predefinido
junos-wf-cpa-default
[edit]
lmoreno@miSRX# set security utm utm-policy web-filter web-filtering http-profile junos-
wf-cpa-default
6.- Aplica la política UTM a la política de la zona trust hacia la zona untrust y establece los
servicios que se permitiran
[edit]
lmoreno@miSRX# set security policies from-zone trust to-zone untrust policy web-filter
match source-address any
lmoreno@miSRX# set security policies from-zone trust to-zone untrust policy web-filter
match destination-address any
lmoreno@miSRX# set security policies from-zone trust to-zone untrust policy web-filter
match application junos-http
lmoreno@miSRX# set security policies from-zone trust to-zone untrust policy web-filter
then permit application-services utm-policy web-filter
-- Para ver la configuración del perfil por default para web filtering, ejecutar el siguiente
comando
+++++++++++ Destination NAT con PAT - como un port forwarding o mapeo de puertos en
SRX210 para publicar un servidor Web al mundo exterior
--> Proxy-arp
[edit security nat]
lmoreno@miSRX# show
}
proxy-arp {
interface ge-0/0/0.0 {
address {
2.1.1.100/32;
}
}
}
--> Política
[edit security policies from-zone untrust to-zone miDMZ]
lmoreno@miSRX# show
policy dst-nat-web {
match {
source-address any;
destination-address webserver;
application http-8000;
}
then {
permit;
}
}
+++++++++++ FIN Destination NAT con PAT - como un port forwarding o mapeo de
puertos en SRX210 para publicar un servidor Web al mundo exterior
-- Crear una nueva aplicación protocolo tcp puerto 22 y un timeout de 3600 segundos
lmoreno@miSRX> edit
lmoreno@miSRX# set applications application my-ssh protocol tcp
lmoreno@miSRX# set applications application my-ssh destination-port 22
lmoreno@miSRX# set applications application my-ssh inactivity-timeout 3600
lmoreno@miSRX> edit
lmoreno@miSRX# set applications application RDP protocol tcp
lmoreno@miSRX# set applications application RDP destination-port 3389
-- Ver las aplicaciones por default o "application sets" por ejemplo junos-http, junos-ssh,
junos-https, junos-telnet, junos-ftp, etc.
lmoreno@miSRX> show configuration groups junos-defaults applications
-- Para realizar un source NAT (para que las PCs de la red interna tengan salida a Internet)
de la zona trust a la zona untrust ejecuta los siguientes 4 comandos, para que el NAT
funcione ya deberan estar creadas las zonas y deberá existir una ruta estática hacia el
proveedor de Internet.
lmoreno@miSRX> configure
lmoreno@miSRX# set security nat source rule-set interface-nat from zone trust
lmoreno@miSRX# set security nat source rule-set interface-nat to zone untrust
lmoreno@miSRX# set security nat source rule-set interface-nat rule regla1 match source-
address 0.0.0.0/0 destination-address 0.0.0.0/0
lmoreno@miSRX# set security nat source rule-set interface-nat rule regla1 then source-
nat interface
**************************************** Ruteo
**************************************** Ruteo
************************ ///////////////////////////////////////
* Mark as New
* Bookmark
* Subscribe
*
* Subscribe to RSS Feed
*
* Highlight
* Print
* Email to a Friend
*
* Report Inappropriate Content
10-27-2008 02:01 AM
Troubleshooting flow
[edit]
root@sunnyvale# set security flow traceoptions file flow-trace
root@sunnyvale# set security flow traceoptions flag all
************************ ///////////////////////////////////////
Como se puede apreciar se copiaron tres archivos a un host remoto en este caso con la IP:
192.168.16.20
-- Limpiar logs
root@miSRX> request system storage cleanup
[edit]
lmoreno@miSRX# set snmp location CDCIII
lmoreno@miSRX# set snmp contact "luis.moreno@docsolutions.com"
lmoreno@miSRX# set snmp community DSSOL3 authorization read-only
lmoreno@miSRX# set security zones security-zone trust interfaces ge-0/0/0 host-inbound-
traffic system-services snmp
lmoreno@miSRX# set snmp community DSSOL3 clients 192.168.16.64
lmoreno@miSRX# set snmp community DSSOL3 clients 0.0.0.0/0 restrict
-- Se pueden realizar varias consultas a la base snmp desde el mismo dispositivo con los
siguientes comandos:
-- Desde Linux con el comando snmpwalk también es posible hacer consultas snmp,
siempre y cuando la máquina Linux este autorizada en el SRX.
Para reiniciar un proceso primero ver que procesos se están ejecutando con el comando
lmoreno@miSRX> show system processes extensive
Ahora filtraremos nuestro proceso especifico que deseamos reiniciar en este caso
reiniciaremos el servicio utmd que es responsable de manejar el web filtering, IDS, etc.
-- Ver un proceso especifico
lmoreno@miSRX> show system processes extensive | grep utmd