Ayúdenos a mejorar su experiencia.

Háganos saber su opinión.

¿Podría dedicar dos minutos de su tiempo a completar una encuesta?

Announcement: Our new, consolidated Junos CLI Reference is now available.

close
external-header-nav
keyboard_arrow_up
list Table of Contents

¿Fue útil esta traducción automática?

starstarstarstarstar
Go to English page
DESCARGO DE RESPONSABILIDAD:

Esta página será traducida por software de traducción automática de terceros. Si bien nos hemos esforzado por proporcionar una traducción de calidad, Juniper Networks no puede garantizar su corrección. En caso de duda respecto a la exactitud de la información que ofrece esta traducción, consulte la versión en inglés. El PDF descargable está disponible solo en inglés.

RSH ALG

date_range 13-Feb-21

El shell remoto (RSH) proporciona un canal para ejecutar comandos en un host remoto. A diferencia de Telnet o SSH, que crean una sesión de shell de terminal en el sistema remoto, RSH pasa los datos de comando y autenticación. El protocolo usa el puerto TCP 514 para pasar los datos de autenticación y el comando. El servidor devuelve el stdout del comando al puerto de origen del cliente. RSH requiere una ALG para pasar un segundo puerto de cliente al servidor para la transmisión del flujo stderr.

Descripción del ALG RSH

La Puerta de enlace de capa de aplicación (ALG) de shell remoto (RSH) procesa paquetes RSH que inician solicitudes y abren dos puertas para permitir que los paquetes se devuelvan desde la dirección inversa al cliente. Una puerta se utiliza para una sesión de identificación (ident) para aplicar autorización y la otra puerta se utiliza para una sesión de error estándar (stderr) para transferir un mensaje de error.

Nota:

La ALG RSH no funciona si la traducción de direcciones de puerto (PAT) está configurada. El RSH requiere que el intervalo de puertos esté entre 512 y 1024. El módulo TDR de origen no puede coincidir con este intervalo de puertos.

Ejemplo: Configuración del RSH ALG

En este ejemplo, se muestra cómo configurar RSH ALG en modo de ruta o TDR. La configuración permite que el tráfico RSH pase a través de un dispositivo, y transfiere comandos y resultados remotos entre un cliente y un servidor ubicado en lados opuestos de un dispositivo de Juniper Networks.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Un dispositivo serie SRX

  • Dos PC (servidor y cliente)

Antes de empezar:

  • Comprenda los conceptos detrás de los ALG. Vea descripción general de ALG

  • Comprenda los conceptos básicos de RSH ALG. Vea la descripción del ALG de RSH

Visión general

En este ejemplo, primero configure las interfaces de red en el dispositivo. Cree zonas de seguridad y asigne interfaces a las zonas, y configure una política para permitir que el tráfico RSH pase por un dispositivo de la serie SRX.

A continuación, se crea un conjunto de reglas TDR estático rs1 con una regla r1 para que coincida con la dirección de destino 40.0.172.10/32, y se crea un prefijo TDR estático con la dirección 40.0.172.45/32.

A continuación, se crea un grupo TDR de origen src-p1 con un conjunto de reglas de origen src-rs1 para traducir paquetes de la interfaz fe-3/0/0.0 a la interfaz fe-3/0/1.0. Para los paquetes coincidentes, la dirección de origen se traduce a una dirección IP en el grupo src-p1.

A continuación, se crea un conjunto TDR de destino des-p1 con un conjunto de reglas de destino des-rs1 para traducir paquetes de la confianza de zona a la dirección de destino 40.0.172.10/32. Para paquetes coincidentes, la dirección de destino se traduce a una dirección IP en el grupo de des-p1. Por último, habilite las opciones de seguimiento ALG RSH.

Topología

La Figura 1 muestra la topología ALG RSH.

Figura 1: Topología RSH ALG Topology RSH ALG

Configuración

Para configurar el ALG RSH, realice estas tareas:

Configurar un modo de ruta

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

content_copy zoom_out_map
set interfaces ge-0/0/0 unit 0 family inet address 10.208.172.58/21
set interfaces fe-3/0/0 unit 0 family inet address 30.3.3.149/8
set interfaces fe-3/0/1 unit 0 family inet address 40.4.4.149/8
set security zones security-zone trust host-inbound-traffic system-services all
set security zones security-zone trust host-inbound-traffic protocols all
set security zones security-zone trust interfaces fe-3/0/0.0
set security zones security-zone untrust host-inbound-traffic system-services all
set security zones security-zone untrust host-inbound-traffic protocols all
set security zones security-zone untrust interfaces fe-3/0/1.0
set security policies from-zone trust to-zone untrust policy rsh match source-address any
set security policies from-zone trust to-zone untrust policy rsh match destination-address any
set security policies from-zone trust to-zone untrust policy rsh match application junos-rsh
set security policies from-zone trust to-zone untrust policy rsh then permit
Procedimiento paso a paso

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Para configurar el modo de ruta:

  1. Configure interfaces.

    content_copy zoom_out_map
    [edit interfaces]
    user@host#set ge-0/0/0 unit 0 family inet address 10.208.172.58/21
    user@host#set fe-3/0/0 unit 0 family inet address 30.3.3.149/8
    user@host#set fe-3/0/1 unit 0 family inet address 40.4.4.149/8
    
  2. Configure zonas y asigne interfaces a las zonas.

    content_copy zoom_out_map
    [edit security zones security-zone]
    user@host#set trust host-inbound-traffic system-services all
    user@host#set trust host-inbound-traffic protocols all
    user@host#set trust interfaces fe-3/0/0.0
    user@host#set untrust host-inbound-traffic system-services all
    user@host#set untrust host-inbound-traffic protocols all
    user@host#set untrust interfaces fe-3/0/0.1
    
  3. Configure una política de RSH que permita el tráfico RSH desde la zona de confianza hasta la zona de no confianza.

    content_copy zoom_out_map
    [edit security policies from-zone trust to-zone untrust]
    user@host#set policy rsh match source-address any
    user@host#set policy rsh match destination-address any
    user@host#set policy rsh match application junos-rsh
    user@host#set policy rsh then permit
    
Resultados

Desde el modo de configuración, ingrese los comandos , show security zonesy show security policies para confirmar la show interfacesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para la corrección.

Para mayor brevedad, este show resultado solo incluye la configuración relevante para este ejemplo. Cualquier otra configuración del sistema se ha reemplazado por puntos suspensivos (...).

content_copy zoom_out_map
[edit]
user@host# show interfaces
ge-0/0/0 {
    unit 0 {
        family inet {
            address 10.208.172.58/21;
        }
    }
}
fe-3/0/0 {
    unit 0 {
        family inet {
            address 30.3.3.149/8;
        }
    }
}
fe-3/0/1 {
    unit 0 {
        family inet {
            address 40.4.4.149/8;
        }
    }
}
content_copy zoom_out_map
[edit]
user@host# show security zones
..
    security-zone trust {
    host-inbound-traffic {
        system-services {
            all;
        }
        protocols {
            all;
        }
    }
    interfaces {
        fe-3/0/0.0;
        }
}
security-zone untrust {
    host-inbound-traffic {
        system-services {
            all;
        }
        protocols {
            all;
        }
    }
    interfaces {
        fe-3/0/1.0;
        }
}
...
content_copy zoom_out_map
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
    policy rsh {
        match {
            source-address any;
            destination-address any;
            application junos-rsh;
        }
        then {
            permit;
        }
    }
}

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configuración de un conjunto de reglas TDR estático

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

content_copy zoom_out_map
set security nat static rule-set rs1 from zone trust 
set security nat static rule-set rs1 rule r1 match destination-address 40.0.172.10/32
set security nat static rule-set rs1 rule r1 then static-nat prefix 40.0.172.45/32
Procedimiento paso a paso

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Para configurar un conjunto de reglas TDR estático:

  1. Cree un conjunto de reglas TDR estático.

    content_copy zoom_out_map
    [edit security nat static rule-set rs1]
    user@host#set from zone trust 
    
  2. Defina la regla para que coincida con la dirección de destino.

    content_copy zoom_out_map
    [edit security nat static rule-set rs1]
    user@host#  set rule r1 match destination-address 40.0.172.10/32
    
  3. Defina el prefijo TDR estático para el dispositivo.

    content_copy zoom_out_map
    [edit security nat static rule-set rs1]
    user@host#  set rule r1 then static-nat prefix 40.0.172.45/32
    
Resultados

Desde el modo de configuración, ingrese el comando para confirmar la show security nat configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

content_copy zoom_out_map
[edit]
user@host# show security nat 
static {
    rule-set rs1 {
        from zone trust;
        rule r1 {
            match {
                destination-address 40.0.172.10/32;
            }
            then {
                static-nat {
                    prefix {
                        40.0.172.45/32;
                    }
                }
            }
        }
    }
}

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configurar un grupo de TDR de origen y un conjunto de reglas sin PAT

Configuración rápida de CLI
Nota:

RSH ALG no admite la configuración de PAT. El ALG RSH requiere que el intervalo de puertos stderr esté entre 512 y 1024. El módulo TDR de origen no puede coincidir con este intervalo de puertos.

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

content_copy zoom_out_map
set security nat source pool src-p1 address 40.0.172.100/32 to 40.0.172.101/32
set security nat source pool src-p1 port no-translation
set security nat source rule-set src-rs1 from interface fe-3/0/0.0
set security nat source rule-set src-rs1 to interface fe-3/0/1.0 
set security nat source rule-set src-rs1 rule r1 match source-address 30.0.0.0/8
set security nat source rule-set src-rs1 rule r1 match destination-address 40.0.0.0/8 
set security nat source rule-set src-rs1 rule r1 then source-nat pool src-p1
Procedimiento paso a paso

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Para configurar un grupo TDR de origen y un conjunto de reglas:

  1. Cree un grupo TDR de origen.

    content_copy zoom_out_map
    [edit security nat source]
    user@host#set pool src-p1 address 40.0.172.100/32 to 40.0.172.101/32
    
  2. Cree un grupo TDR de origen sin traducción de puerto.

    content_copy zoom_out_map
    [edit security nat source ]
    set pool src-p1 port no-translation
    
  3. Cree un conjunto de reglas TDR de origen.

    content_copy zoom_out_map
    [edit security nat source]
    user@host#  set rule-set src-rs1 from interface fe-3/0/0.0
    user@host# set rule-set src-rs1 to interface fe-3/0/1.0 
    
  4. Configure una regla que haga coincidir paquetes y traduzca la dirección de origen a una dirección del grupo de origen.

    content_copy zoom_out_map
    [edit security nat source]
    user@host#  set rule-set src-rs1 rule r1 match source-address 30.0.0.0/8
    
  5. Configure una regla que coincida con paquetes y traduzca la dirección de destino a una dirección del grupo de origen.

    content_copy zoom_out_map
    [edit security nat source]
    user@host#  set rule-set src-rs1 rule r1 match destination-address 40.0.0.0/8 
    
  6. Configure un grupo TDR de origen en la regla.

    content_copy zoom_out_map
    [edit security nat source]
    user@host# set rule-set src-rs1 rule r1 then source-nat pool src-p1
    
Resultados

Desde el modo de configuración, ingrese el comando para confirmar la show security nat configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

content_copy zoom_out_map
[edit]
user@host# show security nat 
source {
    pool src-p1 {
        address {
            40.0.172.100/32 to 40.0.172.101/32;
        }
        port no-translation;
    }
    rule-set src-rs1 {
        from interface fe-3/0/0.0;
        to interface fe-3/0/1.0;
        rule r1 {
            match {
                source-address 30.0.0.0/8;
                destination-address 40.0.0.0/8;
            }
            then {
                source-nat {
                    pool {
                        src-p1;
                    }
                }
            }
        }
    }
}

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configuración de un grupo de TDR de destino y un conjunto de reglas

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

content_copy zoom_out_map
set security nat destination pool des-p1 address 40.0.172.45/32 
set security nat destination rule-set des-rs1 from zone trust
set security nat destination rule-set des-rs1 rule des-r1 match source-address 30.0.172.12/32
set security nat destination rule-set des-rs1 rule des-r1 match destination-address 40.0.172.10/32
set security nat destination rule-set des-rs1 rule des-r1 then destination-nat pool des-p1
Procedimiento paso a paso

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Para configurar un grupo de TDR de destino y un conjunto de reglas:

  1. Cree un grupo TDR de destino.

    content_copy zoom_out_map
    [edit security nat destination]
    user@host#set pool des-p1 address 40.0.172.45/32 
    
  2. Cree un conjunto de reglas TDR de destino.

    content_copy zoom_out_map
    [edit security nat destination]
    user@host#  set rule-set des-rs1 from zone trust
    
  3. Configure una regla que coincida con los paquetes y traduzca la dirección de origen a la dirección del grupo.

    content_copy zoom_out_map
    [edit security nat destination]
    user@host#  set rule-set des-rs1 rule des-r1 match source-address 30.0.172.12/32
    
  4. Configure una regla que coincida con los paquetes y traduzca la dirección de destino a la dirección del grupo.

    content_copy zoom_out_map
    [edit security nat destination]
    user@host#  set rule-set des-rs1 rule des-r1 match destination-address 40.0.172.10/32
    
  5. Configure un grupo TDR de origen en la regla.

    content_copy zoom_out_map
    [edit security nat destination]
    user@host# set rule-set des-rs1 rule des-r1 then destination-nat pool des-p1
    
Resultados

Desde el modo de configuración, ingrese el comando para confirmar la show security nat configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

content_copy zoom_out_map
[edit]
user@host# show security nat 
destination {
    pool des-p1 {
        address {
            40.0.172.45/32;
        }
    }
    rule-set des-rs1 {
        from zone trust;
        rule des-r1 {
            match {
                source-address 30.0.172.12/32;
                destination-address 40.0.172.10/32;
            }
            then {
                destination-nat {
                    pool {
                        des--p1;
                    }
                }
            }
        }
    }
}

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Habilitación de opciones de seguimiento de ALG RSH

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

content_copy zoom_out_map
set security alg rsh traceoptions flag all
set security alg traceoptions file trace
set security alg traceoptions file size 1g
set security alg traceoptions level verbose
Procedimiento paso a paso

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Para habilitar las opciones de seguimiento de ALG RSH:

  1. Habilite las opciones de seguimiento ALG RSH.

    content_copy zoom_out_map
    [edit security alg]
    user@host#set sql traceoptions flag all
    
  2. Configure un nombre de archivo para recibir el resultado de la operación de seguimiento.

    content_copy zoom_out_map
    [edit security alg]
    user@host#set traceoptions file trace
    
  3. Especifique el tamaño máximo del archivo de seguimiento.

    content_copy zoom_out_map
    [edit security alg]
    user@host#set traceoptions file size 1g
    
  4. Especifique el nivel de salida de seguimiento.

    content_copy zoom_out_map
    [edit security alg]
    user@host#set traceoptions level verbose
    
Resultados

Desde el modo de configuración, ingrese el comando para confirmar la show security alg configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

content_copy zoom_out_map
[edit]
user@host# show security alg
traceoptions {
    file trace size 1g;
    level verbose;
}
rsh traceoptions flag all;

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Confirme que la configuración funciona correctamente.

Verificar la sesión de control ALG RSH

Propósito

Compruebe que se ejecuta el comando RSH y que se crean todas las sesiones de datos y de control RSH.

Acción

Desde el modo operativo, ingrese el show security flow session comando.

content_copy zoom_out_map
user@host>show security flow session
Session ID: 2924, Policy name: rsh/6, Timeout: 2, Valid
Resource information : RSH ALG, 2, 0
  In: 30.0.172.12/1023 --> 40.0.172.45/514;tcp, If: fe-3/0/0.0, Pkts: 7, Bytes: 320
  Out: 40.0.172.45/514 --> 30.0.172.12/1023;tcp, If: fe-3/0/1.0, Pkts: 7, Bytes: 314

Session ID: 2925, Policy name: rsh/6, Timeout: 2, Valid
Resource information : RSH ALG, 2, 24
  In: 40.0.172.45/44864 --> 30.0.172.12/113;tcp, If: fe-3/0/1.0, Pkts: 5, Bytes: 278
  Out: 30.0.172.12/113 --> 40.0.172.45/44864;tcp, If: fe-3/0/0.0, Pkts: 5, Bytes: 345

Session ID: 2926, Policy name: rsh/6, Timeout: 2, Valid
Resource information : RSH ALG, 2, 23
  In: 40.0.172.45/1023 --> 30.0.172.12/1022;tcp, If: fe-3/0/1.0, Pkts: 4, Bytes: 216
  Out: 30.0.172.12/1022 --> 40.0.172.45/1023;tcp, If: fe-3/0/0.0, Pkts: 3, Bytes: 164
Total sessions: 3
Significado
  • Session ID—Número que identifica la sesión. Utilice este ID para obtener más información acerca de la sesión, como el nombre de la política, el número de paquetes que entra y sale.

  • Policy name— Nombre de la política que permitió el tráfico.

  • In—Flujo de entrada (direcciones IP de origen y destino con sus respectivos números de puerto de origen y destino, la sesión es TCP, y la interfaz de origen para esta sesión es fe-3/0/0.0).

  • Out—Flujo inverso (direcciones IP de origen y destino con sus respectivos números de puerto de origen y destino, la sesión es TCP, y la interfaz de destino para esta sesión es fe-3/0/1.0).

Verificar el ALG RSH

Propósito

Compruebe que el ALG RSH está habilitado.

Acción

Desde el modo operativo, ingrese el show security alg status comando.

content_copy zoom_out_map
user@host>show security alg status
ALG Status :
  PPTP     : Enabled
  RSH      : Disabled
  RTSP     : Enabled
  SCCP     : Enabled
  SIP      : Enabled
  TALK     : Enabled
  TFTP     : Enabled
  IKE-ESP  : Disabled
Nota:

El ALG RSH está deshabilitado de forma predeterminada. Para habilitar el ALG RSH, escriba el set security alg rsh comando en el modo de configuración.

Significado

El resultado muestra el estado ALG de RSH de la siguiente manera:

  • Habilitado: muestra que RSH ALG está habilitado.

  • Deshabilitado (Disabled): muestra que RSH ALG está deshabilitado.

Verificar el grupo RSH ALG Resource Manager

Propósito

Compruebe el número total de grupos de administración de recursos y grupos activos que utiliza RSH ALG.

Acción

Desde el modo operativo, ingrese el show security resource-manager group active comando.

content_copy zoom_out_map
user@host>show security resource-manager group active
Group ID 1: Application - RSH ALG
				Total groups 677, active groups 1

Verificar la información de recursos de ALG RSH

Propósito

Verifique la cantidad total de recursos y recursos activos que utiliza RSH ALG.

Acción

Desde el modo operativo, ingrese el show security resource-manager resource active comando.

content_copy zoom_out_map
user@host>show security resource-manager resource active
Resource ID 2: Group ID - 1, Application - RSH ALG

  		  Resource ID 1: Group ID - 1, Application - RSH ALG
			  Total Resources 4044, active resources 2
external-footer-nav