Juniper ALG (Application Layer Gateway)

И так что это за зверь и с чем его едят . И так это некий инспектр трафика , он используется на транспортном уровне (TCP/UDP) , но в пакет заглядывает до 7 го уровня . При чем данная функция по умолчанию включена в SRX и J  серии (отсюдого могут быть проблемы , разрывы по все ниже указаных протоколам) .

Если же необходимо посмотреть что реально фильтруется , выполняем :

#show security alg status ALG Status :   

DNS      : Enabled   

FTP      : Enabled   

H323     : Disabled   

MGCP     : Disabled   

MSRPC    : Disabled   

PPTP     : Enabled   

RSH      : Enabled   

RTSP     : Enabled   

SCCP     : Disabled   

SIP      : Disabled   

SQL      : Disabled   

SUNRPC   : Disabled   

TALK     : Enabled   

TFTP     : Enabled

 

По умолчанию все Enable (то есть перечисленный протоколы могут фильтроваться) , рекомендую все выключить иначе Juniper  может блокировать трафик по данным протоколам . Советую отключить данные опции в Disable если вы используете в сети данные протоколы .

Для примера рассмотрим алгоритм работы ALG для PPTP тунеля :

Juniper ALG

Comments for PPTP Messages:

  • OCRQ/OCRP Messages: create obj, group, resource, pinhole, gate by ALG module;
  • WNS(WAN-Error-Notify)/SLI: Check Call ID and translate it if needed by ALG module;