محدود کردن سرورها در Zone های جونیپر
با سلام خدمت همه دوستان ، می خواستم بپرسم چطور میشه بین دو تا سروری که تو یک zone فایروال جونیپر هستند و gateway یکسان دارند یکسری دسترسی ها رو محدود کرد ؟من policy نوشتم به شکل زیر ولی عمل نکرد :
set policy from zone Servers to zone Servers
set source address filesrv destination address backupsrv
application p-3389
then deny#فایروال_جونیپر #جونیپر #juniper_zone
7 پاسخ
سلام
هر دو در یک zone به نام Servers قرا دارند
این Zone به شبکه داخلی اشاره می کنه ؟
برای توضیح بیشتر خدمتتون بگم این دو سرور جزو سرورهای داخلی هستند که در یک zone قرار دارند .بچه های help deskبه یکی از سرورها دسترسی دارند واز طریق همون سرور می تونن به همه سرورهای دیگه ریموت بزنن .
من میخوام دسترسی از این سرور به بقیه سرور ها رو ببندم . ممنون میشم راهنمایی کنید .چون این مساله داره دردسر ساز میشه برامون.
بله
شما از طریق جونیپر نمیتونید این کار رو انجام بدید. بهتره از طریق فایروال ویندوز سرور این کار رو بکنید. یه Rule بنویسید که ترافیک پورت 3389 نتونه به بیرون ارسال بشه. از قسمت Outbound Rules یک Rule بنویسید و Port رو انتخاب کنید و شماره پورت 3389 رو Block کنید.
البته بهترین کاری که میشه انجام داد اینه که تو قسمت Inbound Rules همه سرور هایی که بهشون ریموت دسکتاپ زده میشه یک Custom Rule بنویسید و در قسمت Services گزینه Apply to this service رو انتخاب کنید بعد سرویس Remote Desktop Services رو انتخاب کنید. در مرحله بعد Local Port رو 3389 و Remote Port رو Any بزارید. در قسمت Scope در قسمت Remote IP address آدرس IP سروری که نمیخواین ریموت دسکتاپ ازش زده بشه رو وارد کنید ( همون سروری که Help desk باهاش به بقیه سرور ها ریموت دسکتاپ میزنه ) . البته پیشنهاد می کنم در قسمت Remote IP address گزینه Any رو انتخاب کنید چون امنیتش بیشتره. و در آخر Connection رو Block کنید. از طریق GPO میتونید این Rule رو بنویسید و به سرور های مورد نظرتون اعمال کنید.
براي trobleshooting vpnاز نوع site to site يا remote access و ipsec ابزاري سراغ داريد؟
سلام دوست عزیز ، اون دو تا سرور توی چه Zone ای قرار دارن ؟