Juniper SRX防火墙ICMP-Traceroute

最新推荐文章于 2022-02-17 15:02:10 发布
原创 最新推荐文章于 2022-02-17 15:02:10 发布 · 1.1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#juniper #网络 #安全 #icmp

本文介绍了如何在运行Junos OS 9.6及更高版本的SRX设备上配置允许ICMP-Traceroute的特定应用程序,以解决TTL大于1的数据包被丢弃的问题。内容包括配置UDP和ICMP Traceroute的应用示例,以及通过Wireshark抓包分析防火墙如何处理Traceroute数据包。

通常可以在设备使用show junos junos-defaults 查看到系统自定义的应用参数,Junos-OS提供是的默认参数命令Hidden的,junos-defaults group包含了预定义的参数和通用的应用状态;

Junos-OS软件使用的提供的Traceroute的应用配置如下所示:

Traceroute application:

application junos-traceroute {

application-protocol traceroute;

protocol udp;

destination-port 33435-33450;

ttl-threshold 30;

}

The traceroute application stops at the device supporting the firewall (packets with ttl > 1 will be discarded).

application junos-traceroute-ttl-1 {

application-protocol traceroute;

protocol udp;

destination-port 33435-33450;

ttl-threshold 1;

}

以上应用配置仅支持在J-Series基于数据包设备(junos-os 9.3是最后一版本)

现在,必须配置一个特定的应用程序来显式地允许traceroute包在运行Junos OS 9.6及以后版本的SRX设备上,而不是上面提到的应用程序。

当配置以上指定 的应用协议和TTL溢出值时,将会显示以下报错:

application traceroute {

##

## Warning: statement ignored: unsupported platform (srx210h-poe)

##

application-protocol traceroute;

##

## Warning: statement ignored: unsupported platform (srx210h-poe)

##

ttl-threshold 30;

}

若需要了解Traceroute更多的类型,参考以下链接:

http://en.wikipedia.org/wiki/Traceroute

在大多数情况下,我们使用UDP traceroute或ICMP traceroute,下面两个示例说明如何配置一个应用程序集,以专门允许traceroute数据包。

  1. 对于基于Unix或Linux的操作系统来允许UDP的Traceroute

root@Router-A# show applications |display set

set applications application udp-trace protocol udp

set applications application udp-trace destination-port 33434-33534

  1. 配置允许ICMP的Traceroute,Note:将会允许所有ICMP类型数据包,如果有UDP还是需要结合上面一种实现方式

    application junos-icmp-all {

     term t1 protocol icmp;

    }

    application junos-ping {

     term t1 protocol 1;

    }

Note: This will permit all ICMP packet types.

也可以将上面两种方式进行结合使用:

[edit]

root# show applications

application trace-icmp {

term 1 protocol icmp;

}

application trace-udp {

term 2 protocol udp destination-port 33434-33534;

}

application-set trace-udp-icmp {

application trace-icmp;

application trace-udp;

}

如下拓扑:

在这里插入图片描述
当从Router-A发送Traceroute到Rotuer-B时, 10.10.10.1------------20.20.20.1,防火墙并不会创建会话,因为TTL小于等于1。
如下所示:
[edit]
root@Router-A# run traceroute 20.20.20.1
traceroute to 20.20.20.1 (20.20.20.1), 30 hops max, 40 byte packets
1 10.10.10.2 (10.10.10.2) 4.644 ms 4.654 ms 3.877 ms
2 20.20.20.1 (20.20.20.1) 12.605 ms 11.529 ms 6.266 ms

root@vSRX# run show log icmp-ping |match ttl
Jul 25 09:48:36
Jul 25 09:48:30 09:48:30.271369:CID-0:RT:flow_first_complete_session: ttl <=1 for transit pkt, skipping flow creation
Jul 25 09:48:30 09:48:30.271428:CID-0:RT:flow_first_complete_session: Sending icmp for ttl expiry
Jul 25 09:48:30 09:48:30.271429:CID-0:RT: packet dropped, ttl expiry.
Jul 25 09:48:30 09:48:30.281040:CID-0:RT:flow_first_complete_session: ttl <=1 for transit pkt, skipping flow creation
Jul 25 09:48:30 09:48:30.281087:CID-0:RT:flow_first_complete_session: Sending icmp for ttl expiry
Jul 25 09:48:30 09:48:30.281089:CID-0:RT: packet dropped, ttl expiry.
Jul 25 09:48:30 09:48:30.286239:CID-0:RT:flow_first_complete_session: ttl <=1 for transit pkt, skipping flow creation
Jul 25 09:48:30 09:48:30.286286:CID-0:RT:flow_first_complete_session: Sending icmp for ttl expiry
Jul 25 09:48:30 09:48:30.286287:CID-0:RT: packet dropped, ttl expiry.

同时当在设备上发送Traceroute时,设备会发送三个Traceroute数据包,如上所述,就会显示三个会话创建的记录,通过Wireshark抓包如下记录:
包含TTL超时及端口不可达的回复:

在这里插入图片描述
当从Rourter-A发送Traceroute到 VCP-30.30.30.30网段时,防火墙就会对应的创建会话:

Session ID: 805, Policy name: 1/4, Timeout: 60, Valid

In: 10.10.10.1/40044 --> 30.30.30.30/33437;udp, If: ge-0/0/2.0, Pkts: 1, Bytes: 40

Out: 30.30.30.30/33437 --> 10.10.10.1/40044;udp, If: ge-0/0/3.0, Pkts: 0, Bytes: 0

Session ID: 806, Policy name: 1/4, Timeout: 60, Valid

In: 10.10.10.1/40044 --> 30.30.30.30/33438;udp, If: ge-0/0/2.0, Pkts: 1, Bytes: 40

Out: 30.30.30.30/33438 --> 10.10.10.1/40044;udp, If: ge-0/0/3.0, Pkts: 0, Bytes: 0

Session ID: 807, Policy name: 1/4, Timeout: 60, Valid

In: 10.10.10.1/40044 --> 30.30.30.30/33439;udp, If: ge-0/0/2.0, Pkts: 1, Bytes: 40

Out: 30.30.30.30/33439 --> 10.10.10.1/40044;udp, If: ge-0/0/3.0, Pkts: 0, Bytes: 0

Total sessions: 3

会话超时时间是60秒。 UDP数据包

Juniper 命令
Jian Sun_的博客
03-05 490
show route forwarding-table [destination]:查看指定目的地的转发信息。show interface [interface-name]:查看指定接口的状态。show bgp neighbor [address]:查看指定BGP邻居的信息。show route [destination]:查看指定目的地的路由信息。show security ipsec sa:查看IPsec安全关联信息。show ospf interface:查看OSPF接口信息。
Juniper SRX340防火墙配置
Jian Sun_的博客
05-23 2249
直接上配置,IP地址/端口根据具体需求配置。 admin@SRX340> show configuration | display set | no-more set version 15.1X49-D150.2 set system host-name SRX340 set system time-zone Asia/Shanghai set system default-address-selection set system no-redirects set system no-ping-re
ICMP类型在juniper中的应用
05-16
junipericmp应用,设置不同的类型可以实现不同的效果。
Juniper防火墙ICMP-Ping
往年之事
12-01 2088
穿越Ping流量,从Router-A-10.10.10.1-----------VSRX--------------20.20.20.1-Router-B 当Router-B没有回程路由时,此时从A到Ping到B,分析防火墙上的ICMP会话, 当对端无回包时,ICMP的Timeout是60秒。 root@vSRX> show security flow session protocol icmp |refresh 1 |no-more Jul 25 07:03:10 —(refreshed at.
深入理解静态路由(JUNOS)
weixin_34197488的博客
08-20 938
深入理解静态路由(JUNOS) write by flypig 拓扑如图: ①直连ping通 配置: set logical-systems r1 interfaces em0 unit 12 vlan-id 12 set logical-systems r1 interfaces em0 uni...
Juniper防火墙网络防***设置
weixin_34387284的博客
01-21 278
防火墙的最重要的功能是阻挡网络***,网络***的种类五花八门,防火墙能做到哪些网络防范是防火墙性能的一个重要指标。Juniper防火墙可以阻挡大多数的网络***行为,配置上也非常简单,下面就做一些简单介绍。在“Security > Screening > Screen”界面如上图所示,screen的功能设置可以根据不同德zone选择不同德配置,这是trust借...
精选资源
nodejs-traceroute:围绕tracert和traceroute流程的Node.js包装器
02-03
围绕Tracert和TraceRoute流程的Node.js包装器 安装 npm install --save nodejs-traceroute 强制使用IPv4或IPv6 默认情况下,给出的域名将自动解析。 通过将ipv4或ipv6传递给构造函数来显式强制进行IPv4或IPv6跟踪...
Juniper SRX防火墙上配置静态路由和异步路由时,如何结合OSPF动态路由协议确保网络流量正确转发?
最新发布
10-28
Juniper SRX防火墙中,静态路由和异步路由的配置需要精确匹配网络安全和性能需求。结合OSPF动态路由协议,可以实现更灵活的网络流量管理。以下是一个配置示例,将指导您如何操作: 参考资源链接:[SRX 防火墙:...
ICMP-Advanced-Development.rar_ICMP通信
09-24
2. **ICMP协议交互**:学习如何编写程序来发送和接收ICMP报文,例如实现自定义的ping工具或者traceroute功能。 3. **错误处理与诊断**:理解如何通过ICMP错误报文进行网络问题的诊断,比如主机或网络不可达、端口不...
精选资源
ICMP-de-tuo-pu.rar_局域网ping_拓扑发现 icmp
09-23
基于ICMP网络拓扑发现不仅限于traceroute,还可以结合其他技术,如ARP(Address Resolution Protocol,地址解析协议)和LLDP(Link Layer Discovery Protocol,链路层发现协议),以获取更丰富的信息,如设备的MAC...
Juniper SRX防火墙故障排查命令指导
06-30
Juniper-SRX防火墙包含低中高型号,不管是SRX100,还是SRX5800,都是基于Junos操作系统,因此在操作和配置上并无明显差别。当防火墙遇到故障时,部分型号也有些排查的命令可能不被支持,但此文档也作了一定的区分学习。 通过有效的故障排查,可以大大的缩短业务中断时间及提高自己的专业排错能力。
思科/华为/Juniper探测技术
weixin_34037173的博客
02-08 846
探测目的地址是否存活,多用于多链路出口探测使用。可用于关联路由、策略路由、防火墙双机切换等。实现高可用性,各个厂商都有相关技术,以下举例思科、华为、Juniper配置方法。 思科 ip sla 2 //SLA 编号icmp-echo 192.169.9.66 source 192.168.1.2 //探测目的地址并指定源地址timeout 10000 //超时时间10000毫秒freque...
juniper防火墙命令大全(中文)
A叔的杂货铺
03-06 2万+
本文纯属个人爱好进行翻译整理的,如有差错望谅解并给出改正,正在努力学习juniper防火墙相关知识,如有想一起研究探讨的朋友请加QQ 64064996  共同研究,一起进步!期待….高手进来执教~~~~~~~~~~~~~~ 群:154168237  加QQ与群的朋友请标明 IT爱好者,谢谢   #---表示翻译不一定准确 *---表示常用命令 >get ? Address
Juniper Junos pre-defined Applications and Application-Sets details
Cyber Security Memo
09-21 690
Updated Sep 21 2014 under JUNOS Software Release [12.1X44-D35.5] [emailprotected]> show configuration groups junos-defaults applications ## File Transfer Protocol#application junos-ftp { ap...
网络--juniper防火墙抓包处理故障
weixin_30340745的博客
02-08 821
抓包命令:set ffi src-ip x.x.x.x dst-ip x.x.x.xdebug flow basicget dbuf streamundebug all 转载于:https://www.cnblogs.com/luyan0102/p/8431557.html
Traceroute网络排障实用指南
探索世界,改变世界
06-05 6116
目录 一、概述 1.1 什么是Traceroute 1.2Traceroute的问题所在 二、Traceroute原理 2.1Traceroute实现原理 2.2Traceroute实现细节 2.3Traceroute延时计算 2.4 每一跳产生原理  三、Traceroute中的DNS反向解析 3.1 路由器地理位置 3.2 接口类型与带宽 3.3 路由类型与角色 3....
防火墙笔记
samtaoys的博客
10-16 2609
Juniper NetScreen/SSG Checkpoint Cisco PIX/ASA Hillstone(山石网科) H3C secpath NSForce(绿盟科技) topsec(天融信) venustech(启明星辰) 防火墙功能 UTM(统一威胁管理) 安全防护(区域防护) VPN网关(IPSEC SSL) 入侵防护 病毒过滤 技术
ICMP基础traceroute工作原理
xnasda的博客
02-17 2700
转自:添加链接描述 ** 基本概念: ** ICMP(Internet Control MessageProtocol)Internet控制报文协议。 它是TCP/IP协议簇的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用。 ICMP使用IP的基本支持,就像它是一个更高级别的协议,但是,ICMP实际上是IP的一个组成部分,必须由每个IP模块实现。 ICMP出现的
juniper SRX防火墙配置详解
热门推荐
qq_22193519的博客
10-23 2万+
一、JUNOS 操作系统介绍 JUNOS 集成了路由、交换、安全性和一系列丰富的网络服务。目前 Juniper 公司的全系列路由器产品、交换机产品和 SRX 安全产品均采用统一源代码的 JUNOS 操作系统,JUNOS 是全球首款将转发与控制功能相隔离,并采用模块化软件架构的网络操作系统。JUNOS 采用基于 FreeBSD 内核的软件模块化操作系统,支持 CLI 命令行和 WEBUI 两种设...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值