Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Comandos:
Muestra los usuraios que existen el sistema
root>show system users
Ver la informacion del hardware que tiene instalado el switch, en modo de configuracion:
root# run show chassis hardware
Guardar la configuracion
root# commit
Para entrar al modo de configuracion del equipo solo basta con escribir este comando:
Configure
Ahora noten que el promp ya cambio:
user@host#
noten que el simbolo ">" ahora paso a ser "#" eso nos idica que ya estamos en el modo de
configuracion y podemos empezar a trabajar con el equipo.
Para poder salir del comodo de configuracion y aplicar los cambios es de la de siguiente
manera:
commit and-quitAhora si queremos salir de todo solo escribimos:
exit
Iniciar el instalador para la confiuracion minima del switchNos conectamso por consola y
escribimos lo sigueinte:
root@:RE:0% ezsetup
1. Enter the hostname. This is optional. (Aqui ponemos el nombre del switch)
2. Enter the root password you plan to use for this device. You are prompted to re-enter the
root password.(Aqui nos pide que ingresemla contraseña para ingresar como usuario root)
3. Enter yes to enable services like Telnet and SSH. By default, Telnet is not enabled and SSH
is enabled.(Nos pide que si queremos habilitar el telnet y el ssh por default telnet esta
desahbilitado y ssh se habilita para mayor seguridad)
1. Note: When Telnet is enabled, you will not be able to log in to an EX Series
switch through Telnet using root credentials. Root login is allowed only for SSH
access.
Configure in-band management. In this scenario you have the following two options:
o Use the default VLAN.
o Create a new VLAN—If you select this option, you are prompted to specify the
VLAN name, VLAN ID, management IP address, and default gateway. Select
the ports that must be part of this VLAN.
Configure out-of-band management. Specify the IP address and gateway of the
management interface. Use this IP address to connect to the switch.
1. Specify the SNMP Read Community, Location, and Contact to configure SNMP
parameters. These parameters are optional.
2. Specify the system date and time. Select the time zone from the list. These options
are optional.
3. The configured parameters are displayed. Enter yes to commit the configuration. The
configuration is committed as the active configuration for the switch.
4. (For EX4500 switches only) Enter the request chassis pic-mode intraconnect
operational mode command to set the PIC mode to intraconnect.
root@PasquelMNVL> request system rebooto si quieren mas comandos que peude usar con
request system solo escirben:
gre:
mtun:
ipip:
tap:
///////////////////////////////////////////////////
Comandos \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\
-- cuenta las lineas que hagan coincidencia (o que coincidan) con down y Physical
show interfaces | match down | match Physical | count
-- Ayuda
help reference system host-name
-- Configuration
para saltarse a la rama principal
top edit protocols ospf
up
up 2
exit
-- Para compiar configuración desde un archivo de textoel portapapeles, útil cuando se copia
configuración guardada como backup en un archivo de texto o bien de un equipo a otro y se
hace un restore, las opciones que hay son merge para mezclar la configuración actual con la
que se va a copiar
lmoreno@miSRX> configure
Entering configuration mode
[edit]
lmoreno@miSRX# load merge terminal
[Type ^D at a new line to end input]
(se puede cambiar el número de rollback para compararlo con otras configuraciónes)
-- Aplicar cambios y regresar a la configuración anterior si no se confirma, es útil cuando se
quiere tener la seguridad que los cambios no afectarán la producción o no se perderá acceso
administrativo al firewall, si estás configurando el firewall remotamente y el cambio que
acabas de realizar te podría dejar sin acceso. En este ejemplo son 10 minutos pero puede ser
de 1 hasta 65535 (poco más de 45 días)
[edit]
lmoreno@miSRX# commit confirmed 10
-- Para buscar errores en la operación commit ver los detalles de lo que esta fallando
commit | display detail
-- Para poner un comentario al guardar la configuración y tener una mejor referencia para
futuras consultas
commit comment "Esta config es la buena"
-- Para recuperar una configuración anterior almacenada en los rollback, por ejemplo para
recuperar el rollback número 6 y guardar los cambios y salir
[edit]
lmoreno@miSRX# rollback 6
load complete
[edit]
lmoreno@miSRX# commit and-quit
-- Guardar configuración en un servidor remoto mediante scp para hacer un respaldo backup,
en modo de configuración teclear el comando: save scp://usuario@host/ruta/nombrearchivo
ejemplo:
[edit]
lmoreno@miSRX# save scp://lmoreno@192.168.16.20/home/lmoren ... 638.config
lmoreno@192.168.16.20's password:
tempfile 100% 4075 4.0KB/s 00:00
Wrote 176 lines of configuration to
'scp://lmoreno@192.168.16.20/home/lmoreno/junosbck/201002221638.config'
La configuración se guarda en texto claro en el destino lo cual es útil para revisarla pero
tambien es inseguro, así que donde guardes la configuración debe ser un recurso que asegures
para evitar que tus configuraciones esten expuestas.
[edit]
lmoreno@miSRX# edit system archival
-- ver el log
sh log messages
-- Crear una ruta estática hacia un proveedor de internet ISP en este caso 8.8.8.8 con
mascara de 29 bits,
[edit routing-options]
lmoreno@miSRX# set static route 0/0 next-hop 2.1.1.1
[edit]
lmoreno@miSRX# edit system
[edit system]
lmoreno@miSRX# set time-zone America/Mexico_City
[edit system]
lmoreno@miSRX# run set date 201002231712.25 (aquí va en formato YYYYMMDDhhmm.ss)
Tue Feb 23 17:12:25 CST 2010
[edit system]
lmoreno@miSRX# commit
commit complete
-- El poder de Junos para filtrar información es excelente por ejemplo para ver los logs y
filtrar los resultados por ejemplo ver quien apagó el equipo o quién intento entrar con un
usuario o password inválido
lmoreno@miSRX> show log messages | match power-down
lmoreno@miSRX> show log messages | match "Failed password"
-- Es posible usar terminos y combinarlos para tener opciones tipo AND por ejemplo para
buscar los eventos del día 23 de febrero y que tienen que ver con passwords fallidos y que son
de una IP especifica y que intentaron entrar con usuario root
lmoreno@miSRX> show log messages | find "Feb 23" | match 192.168.16.59 | match root
-- Para opciones de tipo OR por ejemplo ver los mensajes que incluyan las palabras error o
kernel o panic
lmoreno@miSRX> show log messages | match "error|kernerl|panic"
lmoreno@miSRX>
*** messages ***
Feb 23 18:20:34 miSRX sshd[4199]: Failed password for sandwich from 192.168.16.59 port
13170 ssh2
Feb 23 18:20:39 miSRX sshd[4199]: Failed password for sandwich from 192.168.16.59 port
13170 ssh2
[edit]
lmoreno@miSRX# edit snmp
[edit snmp]
lmoreno@miSRX# set description "miSRX"
[edit snmp]
lmoreno@miSRX# set location "Site Principal"
[edit snmp]
lmoreno@miSRX# set contact "Luis Moreno x15005"
[edit snmp]
lmoreno@miSRX# set community MiComunidad authorization read-only clients
192.168.16.64/32
[edit snmp]
lmoreno@miSRX# set trap-group miGrupodetraps version v2 categories chassis link startup
authentication configuration
[edit snmp]
lmoreno@miSRX# set trap-group miGrupodetraps targets 192.168.16.64
-- Eliminar el acceso al cli mediante telnet por ser un protocolo inseguro, en modo de
configuración:
delete security zones security-zone trust interfaces ge-0/0/0 host-inbound-traffic system-
services telnet
1.- Para crear un horario que va de las 8 AM a las 9 PM todos los días de la semana, que inicia
en Marzo 1 2010 hasta Abril 1, 2011, exepto sábado y domingo.
lmoreno@miSRX# set schedulers scheduler horario1 start-date 2010-03-01.08:00 stop-date
2011-04-01.21:00
lmoreno@miSRX# set schedulers scheduler horario1 saturday exclude
lmoreno@miSRX# set schedulers scheduler horario1 sunday exclude
2.- El siguiente comando asocia el schedule a la política, permitiendo acceso durante horas de
oficina.
lmoreno@miSRX# set security policies from-zone trust to-zone untrust policy horas-de-oficina
scheduler-name horario1
-- Ver en el log los mensajes que coinciden con las opciones de SCREEN
lmoreno@miSRX> show log messages | match RT_SCREEN
-- Para poder descargar actualizaciones de Juniper es necesario contar con una licencia
válida, para checar las licencias instaladas en el equipo
lmoreno@miSRX> show system license
-- Para descargar las actualizaciones de IDP una vez que se confirmó la existencia de una
licencia
lmoreno@miSRX> request security idp security-package download full-update
-- Ver la versión de la base de datos de IDP del servidor de Juniper, útil para verificar
conectividad con el servidor y comparar contra la versión instalada
lmoreno@miSRX> request security idp security-package download check-server
-- Instalar la política "Recommended IDP policy" que es una política genérica que puede ser
útil en la mayoría de los casos
lmoreno@miSRX> request security idp security-package download policy-templates
Will be processed in async mode. Check the status using the status checking CLI
[edit]
lmoreno@miSRX# set system scripts commit file templates.xsl
[edit]
lmoreno@miSRX# commit
-- Desactivar el "commit script" para que no sobre-escriba las modificaciones que se le hagan
al template.
[edit system scripts commit]
lmoreno@miSRX# deactivate file templates.xsl
-- Ver el contenido o las políticas del template Recommended
[edit security idp]
lmoreno@miSRX# show idp-policy Recommended
-- Para eliminar una regla del template Recommended (u otro que se desee) por ejemplo la
regla 5
[edit security idp]
lmoreno@miSRX# delete idp-policy Recommended rulebase-ips rule 5
Packet Statistics:
[ICMP: 0] [TCP: 0] [UDP: 0] [Other: 0]
Flow Statistics:
ICMP: [Current: 0] [Max: 0 @ 2010-03-16 12:06:06 CST]
TCP: [Current: 0] [Max: 0 @ 2010-03-16 12:06:06 CST]
UDP: [Current: 0] [Max: 0 @ 2010-03-16 12:06:06 CST]
Other: [Current: 0] [Max: 0 @ 2010-03-16 12:06:06 CST]
Session Statistics:
[ICMP: 0] [TCP: 0] [UDP: 0] [Other: 0]
Policy Name : Recommended v0
Running Detector Version : 10.3.160100209
-- Monitoreo mediante logs, es posible enviar un log si ocurre un ataque y el IDP lo detecte
con el comando
[edit security idp idp-policy Recommended rulebase-ips rule 1]
lmoreno@miSRX# set then notification log-attacks
-- Para ver los grupos de ataques predeterminados (predefined attack group) en el IDP
lmoreno@miSRX> file show /var/db/idpd/sec-repository/attack-group.list
-- Para filtrar un un grupo en especifico por ejemplo P2P ejecuta el siguiente comando
lmoreno@miSRX> file show /var/db/idpd/sec-repository/attack-group.list | grep p2p | no-
more
Configurar Integrated Web Filtering con whitelist y blacklist y perfil por default junos-wf-cpa-
default
Con esta configuración configurarás tu SRX para que puedas emplear el Web Filtering
integrado con SurfControl y podrás emplear listas blancas para dar acceso a páginas que
desees excluir del filtrado e incluir otras que no esten siendo filtradas pero por su naturaleza
no te convenga tenerlas habilitadas.
Para configurar un Web Filtering local usando el CLI, primero debes crear objetos
personalizados (custom objects)
a) Configura un URL pattern list (lista de patrones URL) creando un nombre de lista (list
name) y agregando valores como se muestra a continuación.
[edit]
lmoreno@miSRX# set security utm custom-objects url-pattern lista01-url value
[http://www.playboy.com]
lmoreno@miSRX# set security utm custom-objects url-pattern lista02-url value
[http://www.penthouse.com]
Se pueden usar wildcards como sigue: \*\.[]\?* y debes preceder todos los wildcards con
http:// Solo puedes usar "*" si se encuentra al inicio del URL y esta seguido por un punto "." y
solo puedes usar "?" si se encuentra al final del URL
b) Configurar una lista de categoría URL personalizada empleando el pattern list que se creó
[edit]
lmoreno@miSRX# set security utm custom-objects custom-url-category categoria-url01 value
lista01-url
lmoreno@miSRX# set security utm custom-objects custom-url-category categoria-url02 value
lista02-url
Ahora que los objetos personalizados han sido creados, puedes configurar el perfil de Web
filtering llamado surf-control-integrated
1.- Si estás usando las categorias whitelist y blacklist que se incluyen, selecciona esas
categorías globales. Estas son las primeras categoría que tanto la integrated, redirect y local
emplean. Si no se encuentra coincidencia en estas listas se envía el URL al servidor de
SurfControl.
3.- Establece el tamaño del cache para el perfil surf-control-integrated (500 Kb es el default)
[edit]
lmoreno@miSRX# set security utm feature-profile web-filtering surf-control-integrated cache
size 1000
4.- Establece el timeout (tiempo de vida) para el cache máximo 1800 segundos
[edit]
lmoreno@miSRX# set security utm feature-profile web-filtering surf-control-integrated cache
timeout 1800
5.- Define la política UTM para HTTP (web-filter) y anexa esta política al perfil predefinido
junos-wf-cpa-default
[edit]
lmoreno@miSRX# set security utm utm-policy web-filter web-filtering http-profile junos-wf-
cpa-default
6.- Aplica la política UTM a la política de la zona trust hacia la zona untrust y establece los
servicios que se permitiran
[edit]
lmoreno@miSRX# set security policies from-zone trust to-zone untrust policy web-filter match
source-address any
lmoreno@miSRX# set security policies from-zone trust to-zone untrust policy web-filter match
destination-address any
lmoreno@miSRX# set security policies from-zone trust to-zone untrust policy web-filter match
application junos-http
lmoreno@miSRX# set security policies from-zone trust to-zone untrust policy web-filter then
permit application-services utm-policy web-filter
-- Para ver la configuración del perfil por default para web filtering, ejecutar el siguiente
comando
+++++++++++ Destination NAT con PAT - como un port forwarding o mapeo de puertos en
SRX210 para publicar un servidor Web al mundo exterior
--> Proxy-arp
[edit security nat]
lmoreno@miSRX# show
}
proxy-arp {
interface ge-0/0/0.0 {
address {
2.1.1.100/32;
}
}
}
--> Política
[edit security policies from-zone untrust to-zone miDMZ]
lmoreno@miSRX# show
policy dst-nat-web {
match {
source-address any;
destination-address webserver;
application http-8000;
}
then {
permit;
}
}
+++++++++++ FIN Destination NAT con PAT - como un port forwarding o mapeo de puertos en
SRX210 para publicar un servidor Web al mundo exterior
-- Crear una nueva aplicación protocolo tcp puerto 22 y un timeout de 3600 segundos
lmoreno@miSRX> edit
lmoreno@miSRX# set applications application my-ssh protocol tcp
lmoreno@miSRX# set applications application my-ssh destination-port 22
lmoreno@miSRX# set applications application my-ssh inactivity-timeout 3600
lmoreno@miSRX> edit
lmoreno@miSRX# set applications application RDP protocol tcp
lmoreno@miSRX# set applications application RDP destination-port 3389
-- Ver las aplicaciones por default o "application sets" por ejemplo junos-http, junos-ssh,
junos-https, junos-telnet, junos-ftp, etc.
lmoreno@miSRX> show configuration groups junos-defaults applications
-- Para realizar un source NAT (para que las PCs de la red interna tengan salida a Internet) de
la zona trust a la zona untrust ejecuta los siguientes 4 comandos, para que el NAT funcione ya
deberan estar creadas las zonas y deberá existir una ruta estática hacia el proveedor de
Internet.
lmoreno@miSRX> configure
lmoreno@miSRX# set security nat source rule-set interface-nat from zone trust
lmoreno@miSRX# set security nat source rule-set interface-nat to zone untrust
lmoreno@miSRX# set security nat source rule-set interface-nat rule regla1 match source-
address 0.0.0.0/0 destination-address 0.0.0.0/0
lmoreno@miSRX# set security nat source rule-set interface-nat rule regla1 then source-nat
interface
**************************************** Ruteo
**************************************** Ruteo
************************ ///////////////////////////////////////
* Mark as New
* Bookmark
* Subscribe
*
* Subscribe to RSS Feed
*
* Highlight
* Print
* Email to a Friend
*
* Report Inappropriate Content
10-27-2008 02:01 AM
Troubleshooting flow
[edit]
root@sunnyvale# set security flow traceoptions file flow-trace
root@sunnyvale# set security flow traceoptions flag all
************************ ///////////////////////////////////////
Como se puede apreciar se copiaron tres archivos a un host remoto en este caso con la IP:
192.168.16.20
-- Limpiar logs
root@miSRX> request system storage cleanup
[edit]
lmoreno@miSRX# set snmp location CDCIII
lmoreno@miSRX# set snmp contact "luis.moreno@docsolutions.com"
lmoreno@miSRX# set snmp community DSSOL3 authorization read-only
lmoreno@miSRX# set security zones security-zone trust interfaces ge-0/0/0 host-inbound-
traffic system-services snmp
lmoreno@miSRX# set snmp community DSSOL3 clients 192.168.16.64
lmoreno@miSRX# set snmp community DSSOL3 clients 0.0.0.0/0 restrict
-- Se pueden realizar varias consultas a la base snmp desde el mismo dispositivo con los
siguientes comandos:
-- Desde Linux con el comando snmpwalk también es posible hacer consultas snmp, siempre y
cuando la máquina Linux este autorizada en el SRX.
Para reiniciar un proceso primero ver que procesos se están ejecutando con el comando
lmoreno@miSRX> show system processes extensive
Ahora filtraremos nuestro proceso especifico que deseamos reiniciar en este caso
reiniciaremos el servicio utmd que es responsable de manejar el web filtering, IDS, etc.
-- Ver un proceso especifico
lmoreno@miSRX> show system processes extensive | grep utmd