Почему мой фильтр брандмауэра JUNOS отключает доступ управления?
Кажется мне, что это легко встречено через прерывания SNMP. Настройте свою систему контроля (с 1 000 серверов, у Вас ДОЛЖНА быть система контроля) зарегистрировать перезагрузки (или еще лучше, все прерывания) в базу данных, из которой можно извлечь и управлять данными всегда, Вы считаете целесообразным. Красота хранения прерываний в базе данных состоит в том, что можно выполнить все виды запросов против него и генерировать любые отчеты, которые Вы хотите.
Чертовски хорошая работа! Поскольку вам действительно нужно использовать другой шлюз по умолчанию, я бы немного изменил ситуацию с вашими фильтрами брандмауэра, добавив адрес назначения 0.0.0.0/0 в раздел from для каждого термина. Таким образом, он применяется только тогда, когда адресатом является исходящий интернет-провайдер. Тем не менее, это не должно повлиять на доступ к интерфейсу управления. Я также обычно добавляю раздел, который импортирует все подключенные маршруты, но я думаю, что то, что вы здесь делаете, делает это. Можете ли вы опубликовать таблицы маршрутизации?
вот несколько примеров, которые я сделал, когда я настраивал маршрут политики для перенаправления трафика на внутренний блок веб-фильтрации.
policy-options {
prefix-list web-redirect-src-exclusions;
prefix-list web-redirect-dst-exclusions {
10.254.0.0/16;
10.254.1.10/32;
10.254.1.11/32;
10.254.1.12/32;
10.254.128.10/32;
10.254.128.11/32;
10.254.128.12/32;
}
}
firewall {
family inet {
filter web-redirect {
term srx-exclusions {
from {
source-prefix-list {
web-redirect-src-exclusions;
}
}
then accept;
}
term dst-exclusions {
from {
destination-prefix-list {
web-redirect-dst-exclusions;
}
}
then accept;
}
term web-redirect {
from {
destination-address {
0.0.0.0/0;
}
destination-port [ http https ];
}
then {
routing-instance web-redirect;
}
}
term default {
then accept;
}
}
}
}
routing-instances {
web-redirect {
instance-type forwarding;
routing-options {
static {
route 0.0.0.0/0 next-hop 10.1.1.5;
}
}
}
}