Netscreen-25でのDMZ構成を設定しているのですが、
Netscreenのマニュアルをみてもよく分からず困っております。
ScreenOSは5.0.0r6.0です。
現在の構成は下記のようになっております。
(割振られてるIP : 210.111.222.0/28) IP16個です。
至インターネット
|
--------------------
| メディアコンバータ |
-------------------- 210.111.222.10(UntrustのMIPで設定)
| ↓
| 210.111.222.1 192.168.10.10
-------------------- 192.168.10.1 --------------------
| netscreen-25 |----- Swith ------| Webサーバ | DMZ領域
-------------------- --------------------
| 192.168.1.1
|
------ | ------
| PC |-- Switch --| PC | 社内LAN領域
------.20 .21------
UntrustのMIPの設定は、
Mapped IP 210.111.222.10
HostIP 192.168.10.10
VRouter trust-vr
としており、PoliciesにはHTTPをPermitする事で、
インターネット側からはWebサーバを参照することができます。
で、やりたい事は、
・社内LAN領域からWebサーバにローカルIP(192.168.10.10)でアクセスしたい
・逆にWebサーバから社内LAN領域にアクセスしたい
のですが、Policiesを設定しても何ともなりません。
何か設定すればできるのか、DMZというのはそういう事はできないのか
それすらも理解しておりません。
何かアドバイス、参考になるURL等ご存知の方
お返事頂けますと幸いです。宜しくお願いいたします。
No.1ベストアンサー
- 回答日時:
(1)社内LAN領域からWebサーバにローカルIP(192.168.10.10)でアクセスしたい
(2)逆にWebサーバから社内LAN領域にアクセスしたい
両方共、実現可能です。
Policiesの設定が上手く行って無いようです。
(1)は
Trust=>DMZでHTTPを許可するポリシーを1個
作れば良いです。
作業は
1)ADDRESSに
Webサーバ 192.168.10.10/32
TRUSTセグメント 192.168.1.0/24
の2つを定義して
2)ポリシーを作成する
NATモードではなくROUTEモードと思います
(2)については許可するプロトコルをまず
決定する必要があります。
ANY ANYでポリシーは空けてはだめです。
何かアドバイス、参考になるURL等ご存知の方
お返事頂けますと幸いです。宜しくお願いいたします。
=>購入した会社のサポートに電話して見ては
どうでしょうか?
この回答への補足
ご教示いただきありがとうございます。
いろいろ試したのですが、結果的に進展しておりません…。
>(1)社内LAN領域からWebサーバにローカルIP(192.168.10.10)でアクセスしたい
ご教示頂いた通りポリシーを作成してみたのですが、やはりアクセスできないようです。
>NATモードではなくROUTEモードと思います
モードとはポリシーの設定画面で決めれるものなのでしょうか?
それともInterfacesの画面の「Interface Mode」の事でしょうか?
>(2)逆にWebサーバから社内LAN領域にアクセスしたい
やはりこちらもダメみたいです。any anyで設定してもダメでした…
そもそもDMZ領域のWebサーバから外部にアクセスできていない事に気づきました。
DMZのWebサーバ(192.168.10.10)から、netscreen(192.168.10.1)へはPING通るのですが、
インターネット上へのサーバへはアクセスできておりません。
なお、DMZ->Untrustはany any Permitで設定しております。
DMZを使うにあたり、ルーティング等の設定も必要なのでしょうか?
何度もお手数をお掛けいたします。
解決しました!
DMZゾーンのVirtual Routerの設定がおかしかったようです。
なぜかUntrust-vrになっていました。
一旦DMZの情報削除して、VRを設定し、gonta-pqさんのとおりPolicyを
設定すればちゃんと動作しました。
ありがとうございました。
念のため下記に対応を記述しておきます。
---------------------------------
1.一旦DMZのInterface情報を削除
「IP Address」「Manage IP」を0.0.0.0に変更
2.Virtual Routerを変更
Network -> Zones よりゾーンネーム「DMZ」をEdit。
「Virtual Router Name」を「trust-vr」に変更。
3.DMZのInterfaceを設定し、Policiesを設定
---------------------------------
No.2
- 回答日時:
>NATモードではなくROUTEモードと思います
>Interfacesの画面の「Interface Mode」の事でしょうか?
その通りです。
ADRESSでDMZとTRUSTEDでWEBサーバーや内部の端末のアドレスを設定したほうがいいです。
set address dmz "WWWサーバ" 192.168.10.10 255.255.255.255 "WWWサーバ"
set address trust "運用管理端末" 192.168.1.20 255.255.255.255 "運用管理端末"
そのあとservice の Customg画面 New Groupで追加します。
set group service "HTTP & HTTPS & DNS" comment "HTTP & HTTPS & DNS"
set group service "HTTP & HTTPS & DNS" add "HTTP"
set group service "HTTP & HTTPS & DNS" add "HTTPS"
set group service "HTTP & HTTPS & DNS" add "DNS"
set group service "HTTP & HTTPS & DNS" add "NTP"
set group service "FTP & TELNET" comment "FTP & TELNET"
set group service "FTP & TELNET" add "FTP"
set group service "FTP & TELNET" add "NTP"
set group service "FTP & TELNET" add "TELNET"
それからpolicyの登録です。
外部からWEBサーバーへこれはMIPで指定です。
set policy id 1 name "ANY to WWWserver" incoming "Outside Any" "MIP(210.111.222.10)" "HTTP & HTTPS & DNS" Permit log
WEBサーバーから外部へこれはDMZのWEBサーバーアドレスでの指定です。MIPにしないで
set policy id 2 name "WWWserver to outside" fromdmz "WWWサーバ" "Outside Any" "HTTP & HTTPS & DNS" Permit log
内部のPCからWEBサーバーへ
set policy id 3 name "DMZ WWW" todmz "Inside Any" "WWWサーバ" "HTTP & HTTPS & DNS" Permit log
内部WEBサーバー管理端末からWEBサーバーへ
set policy id 4 name "端末 to DMZ" todmz "運用管理端末" "WWWサーバ" "FTP & TELNET" Permit log
WEBサーバーから内部へ ANY ANYの登録ですがこれは危険ですから通過サービスをきちんと決定したほうがいいです。
set policy id 5 name "DMZ to Inside" fromdmz "WWWサーバ" "Inside Any" "ANY" Permit log
最後にすべての方向のDenyを必ず記述してください。
これをしないとなんの為のファイやウォールかわからなくなります。
set policy id 25 name "DROP ALL" incoming "Outside Any" "Inside Any" "ANY" Deny log
set policy id 26 name "DROP" outgoing "Inside Any" "Outside Any" "ANY" Deny log
set policy id 27 name "DROP ALL FROM INSIDE" todmz "Inside Any" "DMZ Any" "ANY" Deny log
set policy id 28 name "DROP ALL FROM OUTSIDE" todmz "Outside Any" "DMZ Any" "ANY" Deny log
set policy id 29 name "DROP ALL TO INSIDE" fromdmz "DMZ Any" "Inside Any" "ANY" Deny log
set policy id 30 name "DROP ALL TO OUTSIDE" fromdmz "DMZ Any" "Outside Any" "ANY" Deny log
policyの id番号には注意してください。
Denyの設定番号は、通過のidより必ず大きい番号になるようにしてください。
そうしないと、Denyが優先されてしまいます。
サンプルなので、簡単ですがこんな感じでしょうか。
configの記述で書きましたが、WEB設定画面での項目は
類推してください。
inside → outside
outside → inside
dmz → outside
outside → dmz
dmz → inside
inside → dmz
この6つの方向のサービスの通過policyをマトリックスにして検討することが重要です。
がんばってくださいね。
ご教示ありがとうございます!
ほんの今さっき解決しました。DMZのInterface自体の設定が間違っておりました。
Policyについては今から設定しますので参考にさせて頂きます。
ありがとうございました。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
関連するカテゴリからQ&Aを探す
おすすめ情報
- ・漫画をレンタルでお得に読める!
- ・人生のプチ美学を教えてください!!
- ・10秒目をつむったら…
- ・あなたの習慣について教えてください!!
- ・牛、豚、鶏、どれか一つ食べられなくなるとしたら?
- ・【大喜利】【投稿~9/18】 おとぎ話『桃太郎』の知られざるエピソード
- ・街中で見かけて「グッときた人」の思い出
- ・「一気に最後まで読んだ」本、教えて下さい!
- ・幼稚園時代「何組」でしたか?
- ・激凹みから立ち直る方法
- ・1つだけ過去を変えられるとしたら?
- ・【あるあるbot連動企画】あるあるbotに投稿したけど採用されなかったあるある募集
- ・【あるあるbot連動企画】フォロワー20万人のアカウントであなたのあるあるを披露してみませんか?
- ・映画のエンドロール観る派?観ない派?
- ・海外旅行から帰ってきたら、まず何を食べる?
- ・誕生日にもらった意外なもの
- ・天使と悪魔選手権
- ・ちょっと先の未来クイズ第2問
- ・【大喜利】【投稿~9/7】 ロボットの住む世界で流行ってる罰ゲームとは?
- ・推しミネラルウォーターはありますか?
- ・都道府県穴埋めゲーム
- ・この人頭いいなと思ったエピソード
- ・準・究極の選択
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
エクセルで最後の文字だけ置き...
-
SQLにて特定の文字を除いた検索...
-
SQLサーバから、項目の属性(型...
-
SQL Left Join で重複を排除す...
-
エクセルの関数について教えて...
-
Updateの複数テーブル条件時のL...
-
sqlで、600行あるテーブルを100...
-
[MySQL] UNIQUE制約の値を更新...
-
1テーブル&複数レコードの更新...
-
副問合せの書き方について
-
insertを高速化させたい
-
スクリーンセイバー
-
VIEWの元のテーブルのindexって...
-
マイクラPC版のコマンドで効率...
-
単純なクエリーなのにSELECTし...
-
ソート順の一番若い者を取得する
-
MySQL SELECT句でサブクエリで...
-
SQLServer2000 SQL文について
-
フィールド名を変数で指定するには
-
”photo id” とは何ぞや?
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
エクセルで最後の文字だけ置き...
-
エクセルの関数について教えて...
-
VIEWの元のテーブルのindexって...
-
副問合せの書き方について
-
select文のwhere句に配列を入れ...
-
マイクラPC版のコマンドで効率...
-
SQLサーバから、項目の属性(型...
-
エラー 1068 (42000): 複数の主...
-
[MySQL] 3つのテーブルの結合で...
-
Access パラメータクエリをcsv...
-
SQLにて特定の文字を除いた検索...
-
SQL Left Join で重複を排除す...
-
ストアドのエラーについて
-
Unionした最後にGROUP BYを追加...
-
バインド変数について
-
PL/SQLの変数について
-
sqlで、600行あるテーブルを100...
-
WordpressのContact form 7でzi...
-
selectした大量データをinsert...
-
inner joinをすると数がおかし...
おすすめ情報