You are on page 1of 43

COMANDOS JUNOS

Comandos:
Muestra los usuraios que existen el sistema
root>show system users
Detalla tema o protocolos
root>help reference ?
Entrar al modo de configuracion
root>configure

Enlista el estado de cada interface


root> show interface terse
Mostrar la configuracion de todas las interfaces
root# show interfaces
Mostrar la configuracion de una intefaces en especifico
root# show interfaces ge-0/0/0
Editar la configuracion de una interface
root# edit intefaces ge-0/0/0
Moverse de nivel herarquico y estar en modo de configuracion del protocolo
root# top edit protocols ospf
Subir nivel principal
root# top
Eejecutar un comando en modo configuracion
root# run

Ver la informacion del hardware que tiene instalado el switch, en modo de configuracion:
root# run show chassis hardware
Salir del modo de configuracion
root# exit
Mostrar y compara configuraicones anteriores
root# show | compare rollback 0

nota: el numero "0" es el numero de


Muestra los servicios levantas en el switch
root# show services
Muestra el status del servicio de ftp
root# show services ftp
nota: este servicio es un ejemplo ya que sino esta activado nos parecera un error.
Guardar la configuracion
root# commit
Copiar configuracion de interfaces
root# copy ge-0/0/6 to ge-0/0/7
Activar o desctivar una inteface
root# set ge-0/0/1 disable
root# delete ge-0/0/1disable

MODO CLI
Cuando nos conectamos en el puerto consola nos parece esto:
root@RE:0%_
Es aqui el prompt principal para empezar a trabajar con el equipo, lo primero que
debemos de hacer es teclear esto:
CLI
Ahora como observan cambia el promt y queda asi:
user@host>
Si no tan el promt en el final de toda la linea aparece el caracter ">" eso quiere decir que
entramos al equipo no a la configuracion como tal.
Para entrar al modo de configuracion del equipo solo basta con escribir este comando:
Configure
Ahora noten que el promp ya cambio:
user@host#
noten que el simbolo ">" ahora paso a ser "#" eso nos idica que ya estamos en el modo de
configuracion y podemos empezar a trabajar con el equipo.
Para poder salir del comodo de configuracion y aplicar los cambios es de la de siguiente
manera:
commit and-quitAhora si queremos salir de todo solo escribimos:
exit

Iniciar el instalador para la confiuracion minima del switchNos conectamso por consola y
escribimos lo sigueinte:
root@:RE:0% ezsetup
Y en seguida aparece estos mensajes:
1. Enter the hostname. This is optional. (Aqui ponemos el nombre del switch)
2. Enter the root password you plan to use for this device. You are prompted to re-enter
the root password.(Aqui nos pide que ingresemla contrasea para ingresar como usuario
root)
3. Enter yes to enable services like Telnet and SSH. By default, Telnet is not enabled and
SSH is enabled.(Nos pide que si queremos habilitar el telnet y el ssh por default telnet esta
desahbilitado y ssh se habilita para mayor seguridad)
1.
Note: When Telnet is enabled, you will not be able to log in to an EX
Series switch through Telnet using root credentials. Root login is allowed only
for SSH access.
Use the Management Options page to select the management scenario:
Note: On EX4500 and EX8200 switches, only the out-of-band management option is
available.

Configure in-band management. In this scenario you have the following two

options:

Use the default VLAN.

Create a new VLANIf you select this option, you are prompted to specify
the VLAN name, VLAN ID, management IP address, and default gateway. Select the ports
that must be part of this VLAN.

Configure out-of-band management. Specify the IP address and gateway of the

management interface. Use this IP address to connect to the switch.


1.

Specify the SNMP Read Community, Location, and Contact to configure

SNMP parameters. These parameters are optional.


2.

Specify the system date and time. Select the time zone from the list. These

options are optional.


3.

The configured parameters are displayed. Enter yes to commit the

configuration. The configuration is committed as the active configuration for the


switch.

4.

(For EX4500 switches only) Enter the request chassis pic-mode

intraconnect operational mode command to set the PIC mode to intraconnect.


Ahora ya puedes entrar por ssh, consola y por web.
Reiniciar el switch por CLI
Este es el comando
root@PasquelMNVL> request system rebooto si quieren mas comandos que peude usar
con request system solo escirben:
root@PasquelMNVL> request system reboot ?

Vovler a la configuracion de fabrica de EX2200Nos conectamos por medio de consola y


escribimos estos comandos ya estando adentro de la configuracion del switch:
root> start shell user root
Password:
root@:RE:0% cd /config/
root@:RE:0% rm -rf juniper.conf*
root@:RE:0% cd /config/db/config
root@:RE:0%rm -rf juniper.conf.*
root@:RE:0%reboot

Como crear VLAN'S y asignar interfaces a la VLAN?1. [edit]


root@prueba# edit vlans
2. [edit vlans] root@prueba# set "nombre_vlan" vland-id "numero_vlan"3. [edit vlans]
root@prueba# commit4. [edit vlans]
root@prueba# top5. [edit]
root@prueba# edit interfaces6. [edit interfaces] root@prueba# set "nombre_interfaz"
unit 0 family ethernet-switching vlan members "nombre_vlan"

nota esto fue sacado de : http://community.tsares.net/viewtopic.php?f=7&t=116


Comandos Frecuentes JunOS
por Luis Moreno
JunOS
Nombres de interfaces y puertos
FPC --> Flexible PIC Controller
PIC --> Physical Interface Controller
ge-0/2/3 = port 3 of a Gigabit Ethernet PIC in slot 2 on FPC 0
Slot -> PIC -> Puerto
La edicin de comandos en el CLI de JunOS es del tipo EMACS en el mundo Linux
ctrl + b un caracter atras (back)
ctrl + f un caracter adelante (forward)
ctrl + a inicio (start)
ctrl + e end (end)
ctrl + d elimina el caracter donde esta posicionado el cursor (delete)
ctrl + k elimina caracteres desde donde esta posicionado el cursor al final de la lnea
(delete)
ctrl + u desecha el comando actual, como ctrl+c en la lnea de comandos de Linux
ctrl + w elimina la palabra completa que esta a la izquierda del cursor (word)
ctrl + p repite el comando anterior (previous)
ctrl + n comando siguiente (next)
ctrl + i complete completa el comando, como tabulador o espacio
Descripcin de interfaces de servicio (Services Interface)
es: Encryption interfcae
gr: Generic route encapsulation tunnerl interface
ip: IP-ove-IP encapsulation tunnel interface
ls: Link services interface
mo: Passive monitoring interface

mt: Multicast tunnerl interface


sp: Adaptive services interface
vt: Virtual loopback tunnel interface
Otros nombres de interface
lo0: Loopback interface
ae: Aggregated Ethernet interface
as: Aggregated SONET interface
vlan: vLAN interface
Interfaces internas que no son reconfigurables
gre:
mtun:
ipip:
tap:
Las interfaces varian de acuerdo a la plataforma

/////////////////////////////////////////////////// Comandos
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\
-- Ver usuarios conectados
lmoreno@miSRX> show system users
-- Ver las conecciones del equipo como un netstat en linux
lmoreno@miSRX> show system connections
-- Forzar el logout (salida) de un usuario, sacar usuario de una sesin
lmoreno@miSRX> request system logout user lmoreno
-- sacar al usuario de sesin por medio de la terminal a la que esta conectodo
lmoreno@miSRX> request system logout terminal p2

-- historial de comandos de la sesin actual


lmoreno@miSRX> show cli history
-- Solo muestra las lneas que hagan coincidencia
show interfaces | match down
-- Tambin puede emplearse el comando grep como en unix/linux en lugar de match,
mostrar el mismo resultado
show interfaces | grep down
-- cuenta las lineas que hagan coincidencia (o que coincidan) con down y Physical
show interfaces | match down | match Physical | count
-- Ayuda
help reference system host-name
-- Configuration
para saltarse a la rama principal
top edit protocols ospf
up
up 2
exit

**************************************** Manejo de configuraciones


**************************************** Manejo de configuraciones
-- Copiar configuracines desde un texto que se guardad en el portapapeles se tienen las
siguientes opciones
load merge - til cuando ests agregando una nueva seccin a la configuracin existente.
Si la configuracin existente contiene enunciados que estn en conflicto, los enunciados
que vengan de la configuracin que se esta pegando, sobreescribiran la configuaracin
actual.

load override - Reemplaza toda la configuracin actual, con la nueva configuracion


-- Para compiar configuracin desde un archivo de textoel portapapeles, til cuando se
copia configuracin guardada como backup en un archivo de texto o bien de un equipo a
otro y se hace un restore, las opciones que hay son merge para mezclar la configuracin
actual con la que se va a copiar
lmoreno@miSRX> configure
Entering configuration mode
[edit]
lmoreno@miSRX# load merge terminal
[Type ^D at a new line to end input]

Al finalizar la copia del texto de configuracin presionar CTRL+D y


-- Aplicar cambios y salir del modo configuracin
commit and-quit
-- comparar cambios que no se han aplicado con un commit,
show | compare rollback 0
show | compare
(se puede cambiar el nmero de rollback para compararlo con otras configuracines)
-- Aplicar cambios y regresar a la configuracin anterior si no se confirma, es til cuando se
quiere tener la seguridad que los cambios no afectarn la produccin o no se perder
acceso administrativo al firewall, si ests configurando el firewall remotamente y el
cambio que acabas de realizar te podra dejar sin acceso. En este ejemplo son 10 minutos
pero puede ser de 1 hasta 65535 (poco ms de 45 das)
[edit]
lmoreno@miSRX# commit confirmed 10
-- Para buscar errores en la operacin commit ver los detalles de lo que esta fallando
commit | display detail

-- Para poner un comentario al guardar la configuracin y tener una mejor referencia para
futuras consultas
commit comment "Esta config es la buena"
-- Ver las configuraciones almacenadas o los rollbacks almacenados
lmoreno@miSRX> show system commit
-- salir del modo configuracin sin guardar los cambios
rollback
-- Para recuperar una configuracin anterior almacenada en los rollback, por ejemplo para
recuperar el rollback nmero 6 y guardar los cambios y salir
[edit]
lmoreno@miSRX# rollback 6
load complete
[edit]
lmoreno@miSRX# commit and-quit
-- Para guardar el nmero mximo de archivos en flash y rollback
[edit]
lmoreno@miSRX# set system max-configuration-rollbacks 49
[edit]
lmoreno@miSRX# set system max-configurations-on-flash 49
-- Guardar configuracin en un servidor remoto mediante scp para hacer un respaldo
backup, en modo de configuracin teclear el comando:
save scp://usuario@host/ruta/nombrearchivo
ejemplo:
[edit]
lmoreno@miSRX# save scp://lmoreno@192.168.16.20/home/lmoren ... 638.config
lmoreno@192.168.16.20's password:
tempfile 100% 4075 4.0KB/s 00:00
Wrote 176 lines of configuration to
'scp://lmoreno@192.168.16.20/home/lmoreno/junosbck/201002221638.config'

La configuracin se guarda en texto claro en el destino lo cual es til para revisarla pero
tambien es inseguro, as que donde guardes la configuracin debe ser un recurso que
asegures para evitar que tus configuraciones esten expuestas.
-- Guarda la configuracin de rescate para que pueda ser usada en un futuro,
request system configuration rescue save
-- Borra la configuracin actual de de rescate
request system configuration rescue delete
-- Automatizar respaldos (backups), el equipo enviar el respaldo a un servidor SCP
remoto automticamente cada vez que se aplique un commit, tambien puede ser
modificado para usar ftp en lugar de scp, tan solo con cambiar scp por ftp en el comando.
lmoreno@miSRX> configure
Entering configuration mode
[edit]
lmoreno@miSRX# edit system archival
[edit system archival]
lmoreno@miSRX# set configuration archive-sites
"scp://lmoreno@192.168.16.59/home/lmoreno/junosbckauto" password miPassw0rd!
The authenticity of host '192.168.16.50 (192.168.16.50)' can't be established.
RSA key fingerprint is c0:30:25:65:33:41:77:76:25:7d:66:e9:9d:4f:23:f7.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.16.50' (RSA) to the list of known hosts.
[edit system archival]
lmoreno@miSRX# set configuration transfer-on-commit
[edit system archival]
lmoreno@miSRX# commit and-quit
commit complete
Exiting configuration mode

-- Para monitorear las transferencias de configuracin automticas


lmoreno@miSRX> show log messages | match transfer

**************************************** FIN Manejo de configuraciones


**************************************** FIN Manejo de configuraciones
-- ver interfaces en modo resumido
show interface terse
-- ver el log
sh log messages
-- monitorear el log solo los ultimos eventos como tail en linux
monitor start filename
monitor start messages
- para detener
monitor stop messages
-- hacer filtros a los comandos log
show log messages | match "support info"
show log messages | find "Apr 1 09:" | match error
show log messages | match "error|kernel|panic"
show log messages | match ge-0/0/0 | match snmp
-- Crear usuario de modalidad operador con un password simple de texto
[edit]
lmoreno@miSRX# set system login user nuevousuario uid 2002 class operator
authentication plain-text-password
New password:
Retype new password:
-- ver los permisos de los usuarios

sh config system login

-- Cambiar el password de un usuario


[edit]
lmoreno@miSRX# set system login user lmoreno authentication plain-text-password
New password:
Retype new password:
-- conectarse por ftp, cambiarse al folder local /cf/var/tmp y descargar el archivo de
firmware junos-srxsme-9.6R1.13-domestic.tgz
ftp 192.168.16.1
usuario
password
lcd /var/tmp
para cambiar a /cf/var/tmp
get
ejemplo
get junos-srxsme-9.6R1.13-domestic.tgz

-- Crear zona y agregar interface a zona


set security zones security-zone untrust interfaces fe-0/0/6
-- Crear una ruta esttica hacia un proveedor de internet ISP en este caso 8.8.8.8 con
mascara de 29 bits,
[edit routing-options]
lmoreno@miSRX# set static route 0/0 next-hop 2.1.1.1
0/0 = 0.0.0.0/0 o cualquier IP

-- Cambiar velocidad y configuracin duplex, en modo configuracin


set interfaces ge-0/0/0 link-mode half-duplex

set interfaces ge-0/0/0 speed 100m


-- Habilitar ping para una interface en la zona trust
[edit]
lmoreno@miSRX# set security zones security-zone trust interfaces ge-0/0/0 host-inboundtraffic system-services ping
-- Ajustar la hora del sistema
lmoreno@miSRX> configure
Entering configuration mode
[edit]
lmoreno@miSRX# edit system
[edit system]
lmoreno@miSRX# set time-zone America/Mexico_City
[edit system]
lmoreno@miSRX# run set date 201002231712.25 (aqu va en formato
YYYYMMDDhhmm.ss)
Tue Feb 23 17:12:25 CST 2010
[edit system]
lmoreno@miSRX# commit
commit complete
-- Ver la hora actual del sistema y el tiempo que ha estado operando
lmoreno@miSRX> show system uptime
-- El poder de Junos para filtrar informacin es excelente por ejemplo para ver los logs y
filtrar los resultados por ejemplo ver quien apag el equipo o quin intento entrar con un
usuario o password invlido
lmoreno@miSRX> show log messages | match power-down
lmoreno@miSRX> show log messages | match "Failed password"

-- Es posible usar terminos y combinarlos para tener opciones tipo AND por ejemplo para
buscar los eventos del da 23 de febrero y que tienen que ver con passwords fallidos y que
son de una IP especifica y que intentaron entrar con usuario root
lmoreno@miSRX> show log messages | find "Feb 23" | match 192.168.16.59 | match root
-- Para opciones de tipo OR por ejemplo ver los mensajes que incluyan las palabras error o
kernel o panic
lmoreno@miSRX> show log messages | match "error|kernerl|panic"
-- Para monitorear los mensajes en tiempo real
lmoreno@miSRX> monitor start messages
lmoreno@miSRX>
*** messages ***
Feb 23 18:20:34 miSRX sshd[4199]: Failed password for sandwich from 192.168.16.59 port
13170 ssh2
Feb 23 18:20:39 miSRX sshd[4199]: Failed password for sandwich from 192.168.16.59 port
13170 ssh2
Para detener e iniciar salida syslog presionar Esq + q
-- Limpiar log o tracefile
clear log nombre-de-archivo
-- Para borrar archivo log o tracefile
file delete nombre-de-archivo
-- Habilitar SNMP para monitoreo
lmoreno@miSRX> configure
Entering configuration mode
[edit]
lmoreno@miSRX# edit snmp
[edit snmp]

lmoreno@miSRX# set description "miSRX"


[edit snmp]
lmoreno@miSRX# set location "Site Principal"
[edit snmp]
lmoreno@miSRX# set contact "Luis Moreno x15005"
[edit snmp]
lmoreno@miSRX# set community MiComunidad authorization read-only clients
192.168.16.64/32
[edit snmp]
lmoreno@miSRX# set trap-group miGrupodetraps version v2 categories chassis link
startup authentication configuration
[edit snmp]
lmoreno@miSRX# set trap-group miGrupodetraps targets 192.168.16.64
La configuracin final quedara as:
[edit snmp]
lmoreno@miSRX# show
description miSRX;
location "Site Principal";
contact "Luis Moreno x15005";
community MiComunidad {
authorization read-only;
clients {
192.168.16.64/32;
}
}
trap-group miGrupodetraps {
version v2;
categories {

authentication;
chassis;
link;
startup;
configuration;
}
targets {
192.168.16.64;
}
}
-- Ver temperatura estado de ventiladores
show chassis environment
-- Ver temperatura utilizacin de memoria, CPU
show chassis routing-engine
-- Ver detalles sobre los componentes de hardware, nmero de serie, etc.
show chassis hardware
-- Instalar licencias directamente desde servidores Juniper
request system license update
-- Ver el estado de las licencias, licencias instaladas
show system licence
-- Ver el nmero de sesiones mximo para el dispositivo
lmoreno@miSRX> show security flow session summary

-- Ver la tabla arp


show arp

-- Eliminar el acceso al cli mediante telnet por ser un protocolo inseguro, en modo de
configuracin:
delete security zones security-zone trust interfaces ge-0/0/0 host-inbound-traffic systemservices telnet

**************************************** Security Policies / Polticas de Firewall


**************************************** Security Policies / Polticas de Firewall
-- Ver configuracin de la poltica de la zona untrust a la zona trust
show security policies detail from-zone untrust to-zone trust

-- Configurar Horarios para ser aplicados a polticas, por ejemplo se puede crear un
scheduler para que durante horas de oficina no se pueda acceder a sitios de redes
sociales.
Para configurar un scheduler (horario) empleando el CLI:
1.- Para crear un horario que va de las 8 AM a las 9 PM todos los das de la semana, que
inicia en Marzo 1 2010 hasta Abril 1, 2011, exepto sbado y domingo.
lmoreno@miSRX# set schedulers scheduler horario1 start-date 2010-03-01.08:00 stopdate 2011-04-01.21:00
lmoreno@miSRX# set schedulers scheduler horario1 saturday exclude
lmoreno@miSRX# set schedulers scheduler horario1 sunday exclude
2.- El siguiente comando asocia el schedule a la poltica, permitiendo acceso durante horas
de oficina.
lmoreno@miSRX# set security policies from-zone trust to-zone untrust policy horas-deoficina scheduler-name horario1

**************************************** FIN Security Policies / Polticas de


Firewall

**************************************** FIN Security Policies / Polticas de


Firewall

**************************************** SCREEN Options


**************************************** SCREEN Options
-- Ver las opciones de SCREEN configuradas en el objeto untrust-screen
lmoreno@miSRX> show security screen ids-option untrust-screen
-- Ver las estadsticas de SCREEN en la interfaz untrust
lmoreno@miSRX> show security screen statistics zone untrust
-- Ver en el log los mensajes que coinciden con las opciones de SCREEN
lmoreno@miSRX> show log messages | match RT_SCREEN

**************************************** FIN SCREEN Options


**************************************** FIN SCREEN Options
**************************************** Intrusion Detection and Prevention (IDP)
**************************************** Intrusion Detection and Prevention (IDP)
-- Para poder descargar actualizaciones de Juniper es necesario contar con una licencia
vlida, para checar las licencias instaladas en el equipo
lmoreno@miSRX> show system license
-- Para descargar las actualizaciones de IDP una vez que se confirm la existencia de una
licencia
lmoreno@miSRX> request security idp security-package download full-update
-- Verificar el estado de la transferencia
lmoreno@miSRX> request security idp security-package download status
-- Para instalar una base de datos de IDP que se descarg

lmoreno@miSRX> request security idp security-package install


-- Verificar el estado de la instalacin
lmoreno@miSRX> request security idp security-package install status
-- Ver la versin de la base de datos de IDP
lmoreno@miSRX> show security idp security-package-version
-- Ver la versin de la base de datos de IDP del servidor de Juniper, til para verificar
conectividad con el servidor y comparar contra la versin instalada
lmoreno@miSRX> request security idp security-package download check-server
-- Instalar la poltica "Recommended IDP policy" que es una poltica genrica que puede
ser til en la mayora de los casos
lmoreno@miSRX> request security idp security-package download policy-templates
Will be processed in async mode. Check the status using the status checking CLI
-- Verificar el estado de la descarga
lmoreno@miSRX> request security idp security-package download status
In progress:downloading file ...templates.xml.gz
lmoreno@miSRX> request security idp security-package download status
Done;Successfully downloaded from(https://services.netscreen.com/cgi-bin/index.cgi).
Version info:2
-- Instalar el template de poltica
lmoreno@miSRX> request security idp security-package install policy-templates
Will be processed in async mode. Check the status using the status checking CLI
-- Verificar el estado de la instalacin del template
lmoreno@miSRX> request security idp security-package install status
Done;policy-templates has been successfully updated into internal repository
(=>/var/db/scripts/commit/templates.xsl)!
-- Activar el script de template y aplicar los cambios con commit

lmoreno@miSRX> edit
Entering configuration mode
[edit]
lmoreno@miSRX# set system scripts commit file templates.xsl
[edit]
lmoreno@miSRX# commit
-- Verificar si el policy template existe en la configuracin
[edit]
lmoreno@miSRX# edit security idp
[edit security idp]
lmoreno@miSRX# set active-policy ?
Possible completions:
Set active policy
Recommended
-- Configurar la poltica de IDP Recommended como la poltica activa
[edit security idp]
lmoreno@miSRX# set active-policy Recommended
-- Desactivar el "commit script" para que no sobre-escriba las modificaciones que se le
hagan al template.
[edit system scripts commit]
lmoreno@miSRX# deactivate file templates.xsl
-- Ver el contenido o las polticas del template Recommended
[edit security idp]
lmoreno@miSRX# show idp-policy Recommended
-- Para eliminar una regla del template Recommended (u otro que se desee) por ejemplo
la regla 5

[edit security idp]


lmoreno@miSRX# delete idp-policy Recommended rulebase-ips rule 5
-- Aplicar idp a poltica existente
[edit security policies from-zone untrust to-zone miDMZ policy dst-nat-web]
lmoreno@miSRX# set then permit application-services idp
[edit security policies from-zone untrust to-zone miDMZ policy dst-nat-web]
lmoreno@miSRX# commit
commit complete
-- Monitorear la operacin del IDP
lmoreno@miSRX> show security policies policy-name dst-nat-web detail
Policy: dst-nat-web, action-type: permit, State: enabled, Index: 8
Sequence number: 1
From zone: untrust, To zone: dsDMZ
Source addresses:
any: 0.0.0.0/0
Destination addresses:
webserver: 10.2.77.2/32
Application: junos-http
IP protocol: tcp, ALG: 0, Inactivity timeout: 1800
Source port range: [0-0]
Destination port range: [80-80]
Intrusion Detection and Prevention: enabled
Unified Access Control: disabled
-- Monitorear el status (estado) del IDP y estadsticas
lmoreno@miSRX> show security idp status
Status of IDP: s0, Up since: 2010-03-16 12:06:06 CST (1w0d 07:41 ago)
Packets/second: 0 Peak: 0 @ 2010-03-16 12:06:06 CST
KBits/second : 0 Peak: 0 @ 2010-03-16 12:06:06 CST
Latency (microseconds): [min: 0] [max: 0] [avg: 0]

Packet Statistics:
[ICMP: 0] [TCP: 0] [UDP: 0] [Other: 0]
Flow Statistics:
ICMP: [Current: 0] [Max: 0 @ 2010-03-16 12:06:06 CST]
TCP: [Current: 0] [Max: 0 @ 2010-03-16 12:06:06 CST]
UDP: [Current: 0] [Max: 0 @ 2010-03-16 12:06:06 CST]
Other: [Current: 0] [Max: 0 @ 2010-03-16 12:06:06 CST]
Session Statistics:
[ICMP: 0] [TCP: 0] [UDP: 0] [Other: 0]
Policy Name : Recommended v0
Running Detector Version : 10.3.160100209
-- Mostrar los contadores del IDP
lmoreno@miSRX> show security idp counters ?
Possible completions:
application-identification Show Application Identification counters
dfa Show IDP DFA counters
flow Show IDP Flow counters
ips Show IPS counters
log Show IDP Log counters
packet Show IDP Packet counters
policy-manager Show IDP Policy counters
tcp-reassembler Show IDP Reassembler counters
-- Monitorear el uso de memoria del IDP
lmoreno@miSRX> show security idp memory
IDP data plane memory statistics:
Total IDP data plane memory : 188 MB
Used : 7 MB ( 7168 KB )
Available : 181 MB ( 185344 KB )

-- Monitoreo mediante logs, es posible enviar un log si ocurre un ataque y el IDP lo detecte
con el comando
[edit security idp idp-policy Recommended rulebase-ips rule 1]
lmoreno@miSRX# set then notification log-attacks
[edit security idp]
lmoreno@miSRX# set traceoptions flag all
**Los logs se guardan en /var/log/idpd
-- Para ver los logs de idp
lmoreno@miSRX> show log idpd
-- Para ver los grupos de ataques predeterminados (predefined attack group) en el IDP
lmoreno@miSRX> file show /var/db/idpd/sec-repository/attack-group.list
-- Para filtrar un un grupo en especifico por ejemplo P2P ejecuta el siguiente comando
lmoreno@miSRX> file show /var/db/idpd/sec-repository/attack-group.list | grep p2p | nomore

**************************************** FIN Intrusion Detection and Prevention


(IDP)
**************************************** FIN Intrusion Detection and Prevention
(IDP)

**************************************** Web Filtering


**************************************** Web Filtering
Configurar Integrated Web Filtering con whitelist y blacklist y perfil por default junos-wfcpa-default

Con esta configuracin configurars tu SRX para que puedas emplear el Web Filtering
integrado con SurfControl y podrs emplear listas blancas para dar acceso a pginas que
desees excluir del filtrado e incluir otras que no esten siendo filtradas pero por su
naturaleza no te convenga tenerlas habilitadas.
Los comandos para objetos personalizados de Web Filtering son:
Para configurar un Web Filtering local usando el CLI, primero debes crear objetos
personalizados (custom objects)
a) Configura un URL pattern list (lista de patrones URL) creando un nombre de lista (list
name) y agregando valores como se muestra a continuacin.
[edit]
lmoreno@miSRX# set security utm custom-objects url-pattern lista01-url value
[http://www.playboy.com]
lmoreno@miSRX# set security utm custom-objects url-pattern lista02-url value
[http://www.penthouse.com]
Se pueden usar wildcards como sigue: \*\.[]\?* y debes preceder todos los wildcards con
http:// Solo puedes usar "*" si se encuentra al inicio del URL y esta seguido por un punto
"." y solo puedes usar "?" si se encuentra al final del URL
La siguiente sintaxis es
soportada: http://*.juniper.net, http://www.juniper.ne?,http://www.juniper.n?? Lo
siguiente no es soportado:
*.juniper.net, http://www.juniper.ne?,http://*juniper.net, http://*
b) Configurar una lista de categora URL personalizada empleando el pattern list que se
cre
[edit]
lmoreno@miSRX# set security utm custom-objects custom-url-category categoria-url01
value lista01-url
lmoreno@miSRX# set security utm custom-objects custom-url-category categoria-url02
value lista02-url

Ahora que los objetos personalizados han sido creados, puedes configurar el perfil de Web
filtering llamado surf-control-integrated
1.- Si ests usando las categorias whitelist y blacklist que se incluyen, selecciona esas
categoras globales. Estas son las primeras categora que tanto la integrated, redirect y
local emplean. Si no se encuentra coincidencia en estas listas se enva el URL al servidor de
SurfControl.
Ejemplos para agregar al Withelist y Blacklist:
[edit]
lmoreno@miSRX# set security utm feature-profile web-filtering url-blacklist categoriaurl01
lmoreno@miSRX# set security utm feature-profile web-filtering url-whitelist categoriaurl02
2.- Selecciona surf-control-integrated como tu Web Filtering engine como sigue:
[edit]
lmoreno@miSRX# set security utm feature-profile web-filtering surf-control-integrated
3.- Establece el tamao del cache para el perfil surf-control-integrated (500 Kb es el
default)
[edit]
lmoreno@miSRX# set security utm feature-profile web-filtering surf-control-integrated
cache size 1000
4.- Establece el timeout (tiempo de vida) para el cache mximo 1800 segundos
[edit]
lmoreno@miSRX# set security utm feature-profile web-filtering surf-control-integrated
cache timeout 1800
5.- Define la poltica UTM para HTTP (web-filter) y anexa esta poltica al perfil predefinido
junos-wf-cpa-default
[edit]
lmoreno@miSRX# set security utm utm-policy web-filter web-filtering http-profile junos-

wf-cpa-default
6.- Aplica la poltica UTM a la poltica de la zona trust hacia la zona untrust y establece los
servicios que se permitiran
[edit]
lmoreno@miSRX# set security policies from-zone trust to-zone untrust policy web-filter
match source-address any
lmoreno@miSRX# set security policies from-zone trust to-zone untrust policy web-filter
match destination-address any
lmoreno@miSRX# set security policies from-zone trust to-zone untrust policy web-filter
match application junos-http
lmoreno@miSRX# set security policies from-zone trust to-zone untrust policy web-filter
then permit application-services utm-policy web-filter
[edit security utm]
lmoreno@miSRX# show
custom-objects {
url-pattern {
lista02-url {
value [ http://www.penthouse.com ];
}
lista01-url {
value http://www.playboy.com;
}
}
custom-url-category {
categoria-url01 {
value lista01-url;
}
categoria-url02 {
value lista02-url;
}
}
}
feature-profile {

web-filtering {
url-whitelist categoria-url02;
url-blacklist categoria-url01;
type surf-control-integrated;
surf-control-integrated {
cache {
timeout 1800;
size 1000;
}
}
}
}
utm-policy web-filter {
web-filtering {
http-profile junos-wf-cpa-default;
}
}

lmoreno@miSRX# show policies from-zone trust to-zone untrust


policy web-filter {
match {
source-address any;
destination-address any;
application junos-http;
}
then {
permit {
application-services {
utm-policy web-filter;
}
}
}
}

--> Monitorear el Web Filtering


-- Para ver el estado del web filtering
lmoreno@miSRX> show security utm web-filtering status
UTM web-filtering status:
Server status: SC-CPA server up
-- Para ver las estadsticas del web filtering
lmoreno@miSRX> show security utm web-filtering statistics
UTM web-filtering statistics:
Total requests: 646
white list hit: 77
Black list hit: 4
Queries to server: 516
Server reply permit: 486
Server reply block: 30
Custom category permit: 0
Custom category block: 0
Cache hit permit: 13
Cache hit block: 36
Web-filtering sessions in total: 4000
Web-filtering sessions in use: 1
Fall back: log-and-permit block
Default 0 0
Timeout 0 0
Connectivity 0 0
Too-many-requests 0 0

-- Solucin de problemas de Web Filtering (Troubleshooting)


Las siguientes opciones se emplean para solucionar problemas de web filtering:
lmoreno@miSRX# set security traceoptions flag all
lmoreno@miSRX# set security utm traceoptions flag all
lmoreno@miSRX# set security utm application-proxy traceoptions flag all

lmoreno@miSRX# set security utm feature-profile web-filter traceoptions flag all


Las opciones de trace o rastreo se pueden ver en el siguiente log:
lmoreno@miSRX# show log utmd-wf
-- Para ver la configuracin del perfil por default para web filtering, ejecutar el siguiente
comando
lmoreno@miSRX> show configuration groups junos-defaults security utm feature-profile
web-filtering
-- Tambin es posible configurar un perfil personalizado con diferente comportamiento
que el default y quedara ms o menos de la siguiente forma:
[edit security utm]
lmoreno@miSRX# show
custom-objects {
url-pattern {
negra-lista01 {
value [ http://*.facebook.com http://*.penthouse.com ];
}
blanca-lista01 {
value http://www.playboy.com;
}
}
custom-url-category {
blanca-categoria01 {
value blanca-lista01;
}
negra-categoria01 {
value negra-lista01;
}
}
}
feature-profile {

web-filtering {
url-whitelist blanca-categoria01;
url-blacklist negra-categoria01;
type surf-control-integrated;
surf-control-integrated {
cache {
timeout 1800;
size 1000;
}
profile bloqueo-seleccionado {
category {
Adult_Sexually_Explicit {
action block;
}
Advertisements {
action block;
}
Criminal_Skills {
action block;
}
Drugs_Alcohol_Tobacco {
action block;
}
Gambling {
action block;
}
Hacking {
action block;
}
Hate_Speech {
action block;
}
Personals_Dating {
action log-and-permit;
}

Remote_Proxies {
action block;
}
Sex_Education {
action log-and-permit;
}
Violence {
action block;
}
Weapons {
action block;
}
}
default permit;
custom-block-message "El sitio solicitado no parece ser un sitio relacionado al negocio,
favor de contactar a soporte tcnico ext 199";
}
}
}
}
utm-policy web-filter {
web-filtering {
http-profile junos-wf-cpa-default;
}
}
utm-policy wf-bloqueo-personalizado {
web-filtering {
http-profile bloqueo-seleccionado;
}
}

**************************************** FIN Web Filtering

**************************************** FIN Web Filtering

**************************************** Security NAT


**************************************** Security NAT
+++++++++++ Destination NAT con PAT - como un port forwarding o mapeo de puertos en
SRX210 para publicar un servidor Web al mundo exterior
IP pblica: 2.1.1.100 puerto 80
IP interna: 10.1.1.100 puerto 8000
set security nat proxy-arp interface ge-0/0/0.0 address 2.1.1.100
set security nat destination pool dnat-pool-web address 10.1.1.100 port 8000
set security nat destination rule-set dst-nat-web from zone untrust
set security nat destination rule-set dst-nat-web rule r1 match destination-address
2.1.1.100
set security nat destination rule-set dst-nat-web rule r1 then destination-nat pool dnatpool-web
set security zones security-zone trust address-book address webserver 10.1.1.100
set applications application http-8000 protocol tcp destination-port 8000
set security policies from-zone untrust to-zone miDMZ policy dst-nat match sourceaddress any destination-address webserver application http-8000
set security policies from-zone untrust to-zone miDMZ policy dst-nat then permit
----> as se ve la configuracin desde modo de edicin
--> Destination NAT pool y rule-sets
[edit security nat destination]
lmoreno@miSRX# show
pool dnat-pool-web {
address 10.1.1.100/32 port 8000;
}
rule-set dst-nat-web {
from zone untrust;

rule r1 {
match {
destination-address 2.1.1.100/32;
}
then {
destination-nat pool dnat-pool-web;
}
}
}

--> Proxy-arp
[edit security nat]
lmoreno@miSRX# show
...Configuracin extra omitida...
}
proxy-arp {
interface ge-0/0/0.0 {
address {
2.1.1.100/32;
}
}
}

--> Aplicacin en puerto 8000


[edit applications]
lmoreno@miSRX# show
application http-8000 {
protocol tcp;
destination-port 8000;
}

--> Addressbook en zona miDMZ


[edit security zones security-zone miDMZ]
lmoreno@miSRX# show
address-book {
address webserver 10.1.1.100/32;
}

--> Poltica
[edit security policies from-zone untrust to-zone miDMZ]
lmoreno@miSRX# show
policy dst-nat-web {
match {
source-address any;
destination-address webserver;
application http-8000;
}
then {
permit;
}
}

+++++++++++ FIN Destination NAT con PAT - como un port forwarding o mapeo de
puertos en SRX210 para publicar un servidor Web al mundo exterior

-- Crear una nueva aplicacin protocolo tcp puerto 22 y un timeout de 3600 segundos
lmoreno@miSRX> edit
lmoreno@miSRX# set applications application my-ssh protocol tcp
lmoreno@miSRX# set applications application my-ssh destination-port 22
lmoreno@miSRX# set applications application my-ssh inactivity-timeout 3600

lmoreno@miSRX> edit
lmoreno@miSRX# set applications application RDP protocol tcp
lmoreno@miSRX# set applications application RDP destination-port 3389

-- Ver las aplicaciones por default o "application sets" por ejemplo junos-http, junos-ssh,
junos-https, junos-telnet, junos-ftp, etc.
lmoreno@miSRX> show configuration groups junos-defaults applications
+++++++++++ Source NAT para salida a Internet
-- Para realizar un source NAT (para que las PCs de la red interna tengan salida a Internet)
de la zona trust a la zona untrust ejecuta los siguientes 4 comandos, para que el NAT
funcione ya deberan estar creadas las zonas y deber existir una ruta esttica hacia el
proveedor de Internet.
lmoreno@miSRX> configure
lmoreno@miSRX# set security nat source rule-set interface-nat from zone trust
lmoreno@miSRX# set security nat source rule-set interface-nat to zone untrust
lmoreno@miSRX# set security nat source rule-set interface-nat rule regla1 match sourceaddress 0.0.0.0/0 destination-address 0.0.0.0/0
lmoreno@miSRX# set security nat source rule-set interface-nat rule regla1 then sourcenat interface
+++++++++++ FIN - Source NAT para salida a Internet
-- Ver configuracin de un pool
lmoreno@miSRX> show security nat destination pool
-- Ver configuracin de la poltica y cuantas veces ha sido traducida
lmoreno@miSRX> show security nat destination rule all
lmoreno@miSRX> show security nat source rule all
-- Ver configuracin del destination nat y cuantas veces ha sido traducida
lmoreno@miSRX> show security nat destination summary

-- Monitorear las sesiones del destination nat con IP pblica 2.1.1.100


lmoreno@miSRX> show security flow session destination-prefix 2.1.1.100
**************************************** FIN Security NAT
**************************************** FIN Security NAT
**************************************** Ruteo
**************************************** Ruteo
-- Ver las rutas actuales (tabla de ruteo)
show route
-- Ver por que ruta sale hacia una direccin en especifico
show route 192.168.16.1
-- Ver una ruta que coincida exactamente
show route 192.168.16.1 exact
-- Ver mayor informacin de la ruta en cuestin
show route 192.168.16.1 extensive
-- Ver el forwarding table
show route forwarding-table
-- Descripcin de registros del forwarding table
dest: Direcciones remotas son directamente alcanzables a travs de una interface
intf: Instalada como resultado de configurar una interface
perm: Rutas instaladas por el kernel cuando la tabla de ruteo inicializa
user: Rutas instaladas por el proceso routing protocol como resultado de una
configuracin
-- Descripcin de tipos asociados con next-hops (siguiente salto)
bcst: Broadcast
dscd: Discard - Descarta silenciosamente sin enviar un paquete ICMP unreachable

(inalcanzable)
hold: En espera - Next hop esta esperando resolver entre unicast y multicast
locl: Local - Direccin local en una interface
msct: Wire multicast next hop (limitado a la LAN)
mdsc: Multicast Discard - Rechazo Multicast
recv: Receive - Recepcin, recibir
rjct: Reject - Descarta y enva un mensaje ICMP unreachable
ucst: Unicast
ulst: Unicast List - Lista de Unicast next hops empleados cuando se configura load
balancing (balanceo de cargas)
-- Ver instancias de ruteo configuradas
show route instance
-- Instancias de ruteo (routing instances) definidas por el usuario
**************************************** FIN Ruteo
**************************************** FIN Ruteo

************************ ///////////////////////////////////////

Troubleshooting flow SRX


Options
* Mark as New
* Bookmark
* Subscribe
*
* Subscribe to RSS Feed

*
* Highlight
* Print
* Email to a Friend
*
* Report Inappropriate Content
10-27-2008 02:01 AM
Troubleshooting flow

trust-zone 10.1.2.1/24 1.1.1.3/24 untrust-zone


PC==========DUT==========SERVER
ge-0/0/1 ge-0/0/0
Flow debugging can be enabled as a traceoptions file in JUNO-ES.
The traceoption file can be the viewed at the later time or in real time.
An example commands to enable debug and create traceoption file .
The file is stored under /var/logs/ directory
[edit]
root@sunnyvale# set security flow traceoptions file flow-trace
root@sunnyvale# set security flow traceoptions flag all
In this example, flow-trace is the filename
To view the file
[edit]
root@sunnyvale# run file show /var/log/flow-trace
or
run show log flow-trace
To view in real time

[edit]
root@sunnyvale# monitor start flow-trace
To clear the logs
root@sunnyvale# run clear log flow-trace

Creating flow filters:


Flow filters can be created to match
1. Source IP address
2. Source Port
3. Destination IP address
4. Destination port
5. Protocol
6. interface

Configuring flow filter


[edit]
root@sunnyvale#
set security flow traceoptions packet-filter f0 destination-port 80 destination-prefix
1.1.1.1/32
In this example f0 is the name of the filter
************************ ///////////////////////////////////////

**************************************** Manejo de logs


**************************************** Manejo de logs
-- Para copiar un archivo de log a otro equipo fuera del Firewall

root@miSRX> start shell


root@miSRX% scp miflow* lmoreno@192.168.16.20:/home/lmoreno/logsSRX
lmoreno@192.168.16.20's password:
miflow 100% 56KB 56.5KB/s 00:00
miflow.0.gz 100% 4325 4.2KB/s 00:00
miflow.1.gz 100% 9855 9.6KB/s 00:00
root@miSRX%
Como se puede apreciar se copiaron tres archivos a un host remoto en este caso con la IP:
192.168.16.20
-- Ver el espacio usado en el dispositivo SRX
root@miSRX> show system storage detail
Filesystem 1024-blocks Used Avail Capacity Mounted on
/dev/da0s1a 919988 242874 603516 29% /
devfs 1 1 0 100% /dev
devfs 1 1 0 100% /dev/
/dev/md0 488002 488002 0 100% /junos
/cf 919988 242874 603516 29% /junos/cf
devfs 1 1 0 100% /junos/dev/
procfs 4 4 0 100% /proc
/dev/bo0s1e 25004 126 22878 1% /config
/dev/md1 171862 13794 144320 9% /mfs
/dev/da0s1f 62316 1082 56250 2% /cf/var/log
/cf/var/jail 919988 242874 603516 29% /jail/var
devfs 1 1 0 100% /jail/dev
/dev/md2 40110 4 36898 0% /mfs/var/run/utm

-- Limpiar logs
root@miSRX> request system storage cleanup
List of files to delete:

Size Date Name


355B Mar 17 19:08 /cf/var/jail/tmp/events-table.txt
70B Mar 26 18:16 /cf/var/jail/tmp/jweb-users.xml
113B Mar 22 18:05 /cf/var/jail/tmp/sess_c7eabedffaf83185500872d4b9d80b74df0249ab
10.6K Mar 16 17:33 /cf/var/log/flow-trace.0.gz
12.0K Mar 16 17:32 /cf/var/log/flow-trace.1.gz
173B Mar 23 19:03 /cf/var/log/idpd.addver
1764B Mar 19 22:50 /cf/var/log/idpd_err.20100319
588B Mar 23 19:01 /cf/var/log/idpd_err.20100323
180B Feb 16 03:19 /cf/var/log/idpinfo_err.20100216
180B Feb 17 01:33 /cf/var/log/idpinfo_err.20100217
180B Mar 17 19:12 /cf/var/log/idpinfo_err.20100317
360B Mar 23 19:50 /cf/var/log/idpinfo_err.20100323
121B Mar 29 16:57 /cf/var/log/interactive-commands.0.gz
9278B Mar 29 16:57 /cf/var/log/messages.0.gz
127.6K Feb 22 20:00 /cf/var/log/messages.1.gz
138.1K Feb 22 10:00 /cf/var/log/messages.2.gz
4325B Mar 29 16:10 /cf/var/log/miflow.0.gz
9855B Mar 29 16:08 /cf/var/log/miflow.1.gz
3403B Mar 16 12:05 /cf/var/tmp/cleanup-pkgs.log
36.4K Mar 17 19:08 /cf/var/tmp/event_tags.php
124.0K Feb 22 21:13 /cf/var/tmp/gres-tp/env.dat
0B Feb 16 00:51 /cf/var/tmp/gres-tp/lock
4B Mar 16 12:06 /cf/var/tmp/idp_license_info
76B Mar 16 12:07 /cf/var/tmp/krt_gencfg_filter.txt
1424B Mar 16 12:07 /cf/var/tmp/sampled.pkts
0B Feb 16 00:49 /cf/var/tmp/spu_kmd_init
Delete these files ? [yes,no] (no) yes

**************************************** FIN Manejo de logs


**************************************** FIN Manejo de logs

**************************************** Configuracin SNMP


**************************************** Configuracin SNMP
-- Configuracin de SNMP en Juniper SRX
La siguiente configuracin configura SNMP para que solo envi paquetes a la IP
192.168.16.64 y estos paquetes son solo de lectura y la interfaz autorizada es la ge-0/0/0
[edit]
lmoreno@miSRX# set snmp location CDCIII
lmoreno@miSRX# set snmp contact "luis.moreno@docsolutions.com"
lmoreno@miSRX# set snmp community DSSOL3 authorization read-only
lmoreno@miSRX# set security zones security-zone trust interfaces ge-0/0/0 host-inboundtraffic system-services snmp
lmoreno@miSRX# set snmp community DSSOL3 clients 192.168.16.64
lmoreno@miSRX# set snmp community DSSOL3 clients 0.0.0.0/0 restrict
-- Se pueden realizar varias consultas a la base snmp desde el mismo dispositivo con los
siguientes comandos:
lmoreno@miSRX> show snmp mib walk jnxMibs
lmoreno@miSRX> show snmp mib walk jnxOperatingDescr
jnxOperatingDescr.1.1.0.0 = midplane
jnxOperatingDescr.4.1.0.0 = SRX210 Chassis fan
jnxOperatingDescr.7.1.0.0 = FPC: FPC @ 0/*/*
jnxOperatingDescr.8.1.1.0 = PIC: 2x GE, 6x FE, 1x 3G @ 0/0/*
jnxOperatingDescr.9.1.0.0 = Routing Engine
jnxOperatingDescr.9.1.1.0 = USB Hub
-- Desde Linux con el comando snmpwalk tambin es posible hacer consultas snmp,
siempre y cuando la mquina Linux este autorizada en el SRX.
snmpwalk -v 2c -Ob -c public nombredelsrxaqui 1.3.6.1.4.1.2636.3
**************************************** FIN Configuracin SNMP

**************************************** FIN Configuracin SNMP

**************************************** Manejo de procesos


**************************************** Manejo de procesos
Para reiniciar un proceso primero ver que procesos se estn ejecutando con el comando
lmoreno@miSRX> show system processes extensive
Ahora filtraremos nuestro proceso especifico que deseamos reiniciar en este caso
reiniciaremos el servicio utmd que es responsable de manejar el web filtering, IDS, etc.
-- Ver un proceso especifico
lmoreno@miSRX> show system processes extensive | grep utmd
-- Reiniciar el proceso, primero se deber emplear la opcin gracefully para darle
oportunidad al proceso de limpiar archivos, memoria, etc, en caso de que el proceso no
pueda reiniciarse gracefully, usar immediately
lmoreno@miSRX> restart utmd gracefully
UTM Daemon started, pid 32840

You might also like