Firewall Juniper SSG 350M – Screen OS pour les nuls !!!
Bonjour,
Aujourd’hui, nous allons voir comment réinitialiser et faire une installation de base sur un Firewall Juniper SSG 350M basé sur Screen OS.
-Réinitialisation du Firewall (Reset Factory Default)
-Paramétrage d’une IP d’administration
-Paramétrage du Firewall via l’assistant web de configuration
-Création d’une première regle de firewall permettant à la zone Trust (Bureautique) d’accéder à la zone Untrust (Internet)
1er étape : Réinitialisation de firewall
-Connectez vous en console au firewall (cette étape est facultative mais permet de voir le bon déroulement de la réinitialisation)
-A l’aide d’un petit tournevis, appuyez 7 secondes sur le bouton RESET CONFIG situé a coté du bouton power.
Vous devriez voir apparaitre ce message sur la console :
Configuration Erasure Process has been initiated.
Waiting for 2nd confirmation.
Une fois en attente d’une seconde confirmation, relâchez au moins une seconde mais pas plus de trois le bouton puis appuyez de nouveau sur le bouton RESET CONFIG pendant 7 secondes, vous verrez apparaitre :
2nd push has been confirmed.
Configuration Erase sequence accepted, unit reset.
·[2J
…
Puis le firewall devrait rebooter
Vous avez votre Juniper comme si vous veniez de l’acquérir !!!
**Le nouveau login et mot de passe est : netscreen
2eme étape : Paramétrage d’une ip d’administration
Par défaut, le Firewall est configuré pour etre paramétrer sur l’ip 192.168.1.1 via l’interface ethernet 1 dans la zone trust …
Nous allons changer ça car cela ne correspond pas a notre topologie réseau (ou juste pour faire chier son monde)
Dans notre cas nous allons prendre : 192.168.92.100 sur l’interface ethernet 0
set interface ethernet0 ip 192.168.92.100/24
Pour vérifier les IP des interfaces, faites :
get interface
3eme étape : Utilisation de l’assistant de configuration via l’interface web
-Se connecter via l’IP précédemment paramétrer (ici http://192.168.92.100)
Vous devez arriver à l’écran suivant :
Choisissez « No, use the Initial Configuration Wizard instead » pour lancer le Wizard
Choisissez ensuite votre login, votre mot de passe et si vous voulez activer l’accès à l’interface d’administration avec SSL (HTTPS)
Paramétrer trois interface dans des zones prédéfinis (Nous verrons dans un autre article la création et l’attribution de nouvelles zones)
Paramétrez ensuite votre interface Untrust (Internet) dans notre cas, l’interface sera paramétrer en Static
Paramétrez les IP des deux autres interfaces précédemment déclarés :
Voulez-vous un serveur DHCP ? Ou en avez-vous un ?
Et pour finir, un petit résumé ainsi que les commandes pour la réalisation de la configuration de base :
4eme étape : Création d’une regle de firewall permettant à n’importe quel point de la zone Trust d’accéder à Untrust (internet dans notre cas)
-Via telnet :
set policy outgoing “inside any” “outside any” any permit
save
Ou via l’interface web :
Avez tout ça, vous allez pouvoir vous amuser.
La suite c’est selon vos besoins :
-Paramétrage d’une interface DMZ pour le VPN, les accès externes tels que les FTP
-Paramétrage de comptes VPN
-Translation de port (Routage d’une requête allant sur un port de l’IP Publique (Internet Untrust) vers une machine interne
… La suite au prochain numéro ;)
MEMO :
Autoriser le traffic entre trust et untrust en sortie :
set policy outgoing “inside any” “outside any” any permit save
Changer login et password :
set admin name $LOGIN set admin password $PASSWORD save
Bon courage ;)