понедельник, 4 апреля 2011 г.

Корректная отработка RDP-соединений в Juniper

Так уж вышло, что Juniper SRX полностью stateful-раутеры, даже когда этого не нужно. По умолчанию JunOS назначает TCP-сессиям idle-интервал в полчаса. Обычно этого хватает, однако при сворачивании окна удаленного рабочего стола TCP-трафик перестает идти вообще. Соответственно, когда пользователь разворачивает удаленный рабочий стол - он получает реконнект. Вот решение проблемы на джуне:


Объявляем custom application:

root@juniper# show applications
application rdp {
    protocol tcp;
    source-port 1-65535;
    destination-port 3389;
    inactivity-timeout 28800;
}

Ставим правило в исходящей от юзеров policy (даже если вторым правилом будет permit all):
root@juniper# show security policies from-zone trust to-zone vpn 
policy rdp-policy {
    match {
        source-address any;
        destination-address any;
        application rdp;
    }
    then {
        permit;
    }
}
policy trust-to-vpn {
    match {
        source-address local-net;
        destination-address any;
        application any;
    }
    then {
        permit;
    }
}

Комментариев нет: