はじめに
- 新しいアドレスに対してFWポリシーを設定する方法 by junos
- チームの検証環境のFWをいじってて、やっぱりいつもどおりやり方忘れたのでメモ
- SRX100の場合
バージョン
user@router1 > show version
Hostname: router1
Model: srx100b
JUNOS Software Release [11.4R6.6]
設定
- TRUSTからUNTRSUTへの疎通を空ける例
- すでに、zoneとして、TRUST / UNTRUSTが設定済み
- policy ALL_DENYもすでに設定済み
set security address-book global address UNTRUST_ADD-0001 XXX.XXX.XXX.XXX/XX
set security address-book global address-set UNTRUST_ADD_SET-0001 address UNTRUST_ADD-0001
set security policies from-zone TRUST to-zone UNTRUST policy TRUST_UNTRUST_POLICY-0001 match source-address any
set security policies from-zone TRUST to-zone UNTRUST policy TRUST_UNTRUST_POLICY-0001 match destination-address UNTRUST_ADD_SET-0001
set security policies from-zone TRUST to-zone UNTRUST policy TRUST_UNTRUST_POLICY-0001 match application any
set security policies from-zone TRUST to-zone UNTRUST policy TRUST_UNTRUST_POLICY-0001 then permit
insert security policies from-zone TRUST to-zone UNTRUST policy TRUST_UNTRUST_POLICY-0001 before policy ALL_DENY
以下で確認&コミット。
show | compre
commit check
commit
解説
- 無邪気に
set ~~
で追加したあと、ミソはinsert ~~ before
でALL_DENYの前に入れることだった。忘れそう。
おわりに
- 英語の記事のほうがわかりやすいけど、日本語の記事があってもいいよね