Juniper防火墙之ICMP-Ping

最新推荐文章于 2025-04-23 11:03:42 发布
原创 最新推荐文章于 2025-04-23 11:03:42 发布 · 2k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#icmp #juniper #pingdom #网络

示例拓扑

穿越Ping流量,从Router-A-10.10.10.1-----------VSRX--------------20.20.20.1-Router-B

  1. 当Router-B没有回程路由时,此时从A到Ping到B,分析防火墙上的ICMP会话, 当对端无回包时,ICMP的Timeout是60秒。

root@vSRX> show security flow session protocol icmp |refresh 1 |no-more
Jul 25 07:03:10
—(refreshed at 2020-07-25 07:03:10 UTC)—
Total sessions: 0
Jul 25 07:03:11
—(refreshed at 2020-07-25 07:03:11 UTC)—
Total sessions: 0
Jul 25 07:03:12
—(refreshed at 2020-07-25 07:03:12 UTC)—
Session ID: 47, Policy name: 1/4, Timeout: 60, Valid
In: 10.10.10.1/0 --> 20.20.20.1/19478;icmp, If: ge-0/0/2.0, Pkts: 1, Bytes: 84
Out: 20.20.20.1/19478 --> 10.10.10.1/0;icmp, If: ge-0/0/3.0, Pkts: 0, Bytes: 0
Total sessions: 1
Jul 25 07:03:13
—(refreshed at 2020-07-25 07:03:13 UTC)—
Session ID: 47, Policy name: 1/4, Timeout: 58, Valid
In: 10.10.10.1/0 --> 20.20.20.1/19478;icmp, If: ge-0/0/2.0, Pkts: 1, Bytes: 84
Out: 20.20.20.1/19478 --> 10.10.10.1/0;icmp, If: ge-0/0/3.0, Pkts: 0, Bytes: 0

Note:Timout=60秒,可以通过以下的方式进行修改,

set applications application icmp-ping-test protocol icmp
set applications application icmp-ping-test icmp-type echo-request
set applications application icmp-ping-test inactivity-timeout 20

  1. 分析flow-traceoptions日志消息, ICMP类型8,代码0,请求回显,timeout=60s

Jul 25 07:03:12 07:03:11.978862:CID-0:RT:<10.10.10.1/0->20.20.20.1/19478;1> matched filter input:
Jul 25 07:03:12 07:03:11.979079:CID-0:RT: ge-0/0/2.0:10.10.10.1->20.20.20.1, icmp, (8/0)

Jul 25 07:03:12 07:03:11.979239:CID-0:RT:flow_first_policy_search: policy search from zone trust-> zone untrust (0x0,0x4c16,0x4c16)

Jul 25 07:03:12 07:03:11.979247:CID-0:RT:Policy lkup: vsys 0 zone(6:trust) -> zone(7:untrust) scope:0

Jul 25 07:03:12 07:03:11.979249:CID-0:RT: 10.10.10.1/2048 -> 20.20.20.1/4406 proto 1

Jul 25 07:03:12 07:03:11.979267:CID-0:RT: app 0, timeout 60s, curr ageout 60s

  1. 配置回程流量,分析会话及flow-traceoptions,当ping流量穿越防火墙时,穿越防火墙的timout=60秒,当对端回显回复时,SRX将ICMP的超时时间减少到4秒,快速超时,删除会话。

Session

Jul 25 07:27:27 07:27:26.1824331:CID-0:RT:<20.20.20.1/23->10.10.10.1/0;1> matched filter back-input:
Jul 25 07:27:27 07:27:26.1824346:CID-0:RT: ge-0/0/3.0:20.20.20.1->10.10.10.1, icmp, (0/0)

  1. 通过Wireshark抓包分析,在防火墙ge-0/0/2接口抓包

icmp-echo-request-type8-code0:

在这里插入图片描述

接口 ge-0/0/3接口, icmp-echo-request-type8-code0:

在这里插入图片描述

  1. 再回顾当前的策略配置及服务应用,如下所示:

root@vSRX# show security policies |display set

Jul 25 07:43:50
set security policies from-zone trust to-zone untrust policy 1 match source-address any
set security policies from-zone trust to-zone untrust policy 1 match destination-address any
set security policies from-zone trust to-zone untrust policy 1 match application icmp-ping-test
set security policies from-zone trust to-zone untrust policy 1 then permit
set security policies from-zone untrust to-zone trust policy 1 match source-address any
set security policies from-zone untrust to-zone trust policy 1 match destination-address any
set security policies from-zone untrust to-zone trust policy 1 match application icmp-reply
set security policies from-zone untrust to-zone trust policy 1 then permit

Application使用是自定义的icmp-request,其实与设备自带的junos-icmp-ping是一致的,如下所示:

###自定义配置###

root@vSRX# show applications |display set
Jul 25 07:43:58
set applications application icmp-ping-test protocol icmp
set applications application icmp-ping-test icmp-type echo-request
set applications application icmp-ping-test inactivity-timeout 20
set applications application icmp-reply protocol icmp
set applications application icmp-reply icmp-type echo-reply
set applications application icmp-reply inactivity-timeout 30

###设备内置icmp-ping###

root@vSRX# show groups junos-defaults | match icmp-ping|display set
Jul 25 07:44:21
set groups junos-defaults applications application junos-icmp-ping term t1 protocol icmp
set groups junos-defaults applications application junos-icmp-ping term t1 icmp-type echo-request

通常还有另外一种ICMP的Application,如下所示,在使用的时候还需作区分,只匹配icmp协议:

root@vSRX# show groups junos-defaults | match icmp-all |display set
Jul 25 07:46:52
set groups junos-defaults applications application junos-icmp-all term t1 protocol icmp

junos-ping and junos-icmp-all 两者在功能上完全一样,这两个应用的目标协议都是ICMP的所有类型,两者同时存在 的原因是为了配置的兼容性:

  1. junos-icmp-all被使用于J-Series和MX/T-Series的JUNOS平台
  2. junos-ping 则来源于NetScreen作为Junos-ES-OS的一部分
网络工程师:Juniper设备巡检命令大全
网络技术联盟站
06-19 1642
网络管理中,设备巡检是确保网络设备运行正常、性能最佳的重要环节。Juniper Networks设备广泛应用于各类网络环境,其特有的JUNOS操作系统提供了一系列强大而实用的命令工具,用于设备巡检和故障排查。本文将详细介绍常见的Juniper设备巡检命令,帮助网络管理员更好地维护和管理其网络设备。
ICMP类型在juniper中的应用
05-16
junipericmp应用,设置不同的类型可以实现不同的效果。
PingJuniper SRX防火墙接口条件
weixin_34236869的博客
02-18 1472
Juniper SRX防火墙接口包括两种: 1、管理接口,默认为fxp0 2、业务接口,这里通常是指配置用来跑业务的板卡接口,如:SRX3k SFB 12GE(8x 1GE-TX 4x 1GE-SFP) 对于管理接口,配置IP后即可ping通: netscreen@SRX3600# set interfaces fxp0 unit 0 family inet a...
JUNIPER设备常用命令总结
热门推荐
Jian Sun_的博客
04-07 1万+
前些日子认真看了一下Juniper路由器的一些命令。在这里总结一下。方便以后使用 Juniper路由器的命令主要分为两个部分,一个是operational,主要是复杂查看目前网络的配置情况(只能查看,不能修改。感觉权限比较低);另一个是configuration,主要用来查看和修改配置(感觉权限高一些)。刚进入到Juniper路由器时,默认进入的是operation,输入edit命令之后,就进入到了[edit]目录下,也就是进入了configuration。 基础配置命令(如未说明则在[edit].
juniper防火墙命令
weixin_34226706的博客
12-11 302
支持SSH,WEB,TELNET管理下面为TELNET命令清单:登陆需要口令验证:Remote Management Consolelogin: juniperpassword:主菜单:***_1> ?clear clear dynamic system infodelete delete persisten...
Juniper SRX防火墙ICMP-Traceroute
往年之事
12-01 1115
通常可以在设备使用show junos junos-defaults 查看到系统自定义的应用参数,Junos-OS提供是的默认参数命令Hidden的,junos-defaults group包含了预定义的参数和通用的应用状态; Junos-OS软件使用的提供的Traceroute的应用配置如下所示: Traceroute application: application junos-traceroute { application-protocol traceroute; protocol udp; d
juniper SRX防火墙NAT 专题
网络之路Blog(其他平台同名)
03-14 1062
文档查看须知 测试环境:SRX 220H两台 配置须知:SRX 220H默认带外管理口Ge-0/0/6控制口:Ge-0/0/7数据同步口:Ge-0/0/1 使用集群后则集群后接口标示为:Ge-0/0/0-7; Ge-3/0/0-7 (不同型号集群后接口显示不同,详情见官方文档) 拓扑对应IP:G-0/0/3:192.168.3.1/24 G-0/0/4:192.168.4.1/24 G-0/0/5:192.168..5.1/24 MGT:10.10.30.189-190/24 F0/0:192.168.4
Linux之彻底掌握防火墙-----安全管理详解
小峰编程
04-23 1703
基于Linux的防火墙介绍,分类:软、硬件防火墙,四表五链(五表五链),iptables的介绍和应用,firewalld的介绍和应用,iptables和firewalld实现本机端口的转发,实现跨主机的端口转发,实现SNAT和DNAT。
Juniper SRX340防火墙配置
Jian Sun_的博客
05-23 2248
直接上配置,IP地址/端口根据具体需求配置。 admin@SRX340> show configuration | display set | no-more set version 15.1X49-D150.2 set system host-name SRX340 set system time-zone Asia/Shanghai set system default-address-selection set system no-redirects set system no-ping-re
Juniper IP monitor(RPM)
Jian Sun_的博客
10-22 2190
Juniper IP monitor(RPM)
Juniper SRX双出口来回路径不一致问题分析
吐蕃-鸠摩智的博客
11-28 600
Juniper SRX防火墙双出口来回路径不一致问题分析
关于ICMP协议和ping命令
gehulushang的博客
04-25 1154
之前实验室办网的时候用过这个ping命令,现在转载总结一下,本文主要来自小林coding微信公众号 链接: https://mp.weixin.qq.com/s/55bbQX2-SUNe6PEI9My5fA ICMP协议 简介 ICMP 全称是Internet Control Message Protocol,也就是互联网控制报文协议。 网络包在复杂的网络传输环境里,常常会遇到各...
Juniper SRX300系列 —— 防火墙常用命令
茉清语
09-22 3045
JUNOS采用基于FreeBSD内核的软件模块化操作系统,支持CLI命令行和WEBUI两种接口配置方式。CLI使用层次化配置结构分为操作(operational)和配置(configure )两类模式。在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作,并通过执行config 或edit 命令进入配置模式。在配置模式下可对各相关模块进行配置并能够执行操作模式下的所有命令(run )。
Juniper SRX300系列 —— 防火墙IPSec VPN配置详解
茉清语
09-01 2108
上一章节已详细讲解了防火墙的基础配置及dmz相关配置,在实际项目实践中往往离不开VPN的使用。IPSEC协议通过包封装技术,能够利用Internet可路由的地址,封装内部网络的IP地址,实现异地网络的互通。
juniper设备日常操作指南
weixin_45537413的博客
05-27 1万+
1、日常show操作 # show 查看所有配置 # show | display set 查看set格式的所有配置 # show system | display set 查看set格式的system层级配置 # show system login | display set 查看set格式的system层级下的login层级配置 # run show version # run show route 1.1.1.1 # run ping 1.1.1.1 在配置模式下运行操作模式命令,前面加
Juniper设备日常操作指南
Jian Sun_的博客
07-28 7914
juniper设备日常操作指南
Juniper SRX防火墙批量导入set格式配置
weixin_33730836的博客
03-05 629
Juniper SRX防火墙批量导入set格式配置 SRX在进行大量配置时可能会出现一些小问题,可以使用load set terminal命令导入大量set格式的配置。 root# load set terminal[Type ^D at a new line to end input] 输入配置set applications application tcp-1521 protocol tcps...
5、SRX完整配置
07-22 725
1、设置系统密码set system root-authentication plain-text-passwordNew password:Retype new password:2、设置IP地址、路由、开启SSH和HTTPS服务set system time-zone Asia/Shanghaiset system name-server 114.114.114.114...
Juniper srx 240 端口映射\\N个ISP出口 之 “浮动路由+指定资源走指定线路”
weixin_34144450的博客
12-10 468
172.18.18.42 port 2020、2009 ISP_IP Port XXXX、XXXX172.18.18.45 port 2020、2009 ISP_IP Port XXXX、XXXX 步骤一:定义全局地址set security address-book global address Nutanix_Cluster 172.18.18.50/32步骤二:定义协议端口set...
网络ACL中如何采取禁拼
最新发布
10-29
通常在网络ACL(访问控制列表)中采取禁拼(禁止Ping操作)措施,可通过配置ACL规则来阻止ICMP(Internet控制消息协议)的Echo请求和Echo应答报文,因为Ping命令主要使用这两种ICMP报文来测试网络连通性。 以下是在不同网络设备上配置ACL禁拼的示例: ### 思科设备 在思科路由器或交换机上,可使用如下命令配置ACL来禁止Ping操作: ```plaintext ! 创建一个编号为100的扩展访问控制列表 access-list 100 deny icmp any any echo access-list 100 deny icmp any any echo-reply access-list 100 permit ip any any ! 将ACL应用到接口的入站方向 interface GigabitEthernet0/1 ip access-group 100 in ``` 以上配置中,首先创建了一个扩展访问控制列表100,其中`deny icmp any any echo`和`deny icmp any any echo-reply`分别禁止了ICMP的Echo请求和Echo应答报文,`permit ip any any`允许其他所有IP流量通过。然后将该ACL应用到`GigabitEthernet0/1`接口的入站方向。 ### 华为设备 在华为路由器或交换机上,配置ACL禁拼的命令如下: ```plaintext # 创建一个编号为3000的高级ACL acl number 3000 rule 5 deny icmp source any destination any icmp-type echo rule 10 deny icmp source any destination any icmp-type echo-reply rule 15 permit ip source any destination any # 将ACL应用到接口的入站方向 interface GigabitEthernet0/0/1 traffic-filter inbound acl 3000 ``` 这里创建了一个高级ACL 3000,通过规则`rule 5`和`rule 10`分别禁止了ICMP的Echo请求和Echo应答报文,`rule 15`允许其他所有IP流量。最后将该ACL应用到`GigabitEthernet0/0/1`接口的入站方向。 ### Juniper设备 在Juniper设备上,配置ACL禁拼的示例如下: ```plaintext set firewall family inet filter block-ping term deny-ping from protocol icmp set firewall family inet filter block-ping term deny-ping from icmp-type echo-request set firewall family inet filter block-ping term deny-ping from icmp-type echo-reply set firewall family inet filter block-ping term deny-ping then discard set firewall family inet filter block-ping term allow-other then accept set interfaces ge-0/0/0 unit 0 family inet filter input block-ping ``` 上述配置创建了一个名为`block-ping`的防火墙过滤器,通过`term deny-ping`规则禁止了ICMP的Echo请求和Echo应答报文,`term allow-other`规则允许其他流量。最后将该过滤器应用到`ge-0/0/0`接口的入站方向。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值