NetScreenにて。

下記のような構成でFirewallを立てようとしているのですが、
一向に全端末からアクセスできてしまいます。

やや具体的な方法を教えていただきたいのですが・・・

＜構成＞

HUB－－－－Netscreen－－－サーバ
｜
｜－－－－PC1
｜
｜－－－－PC2
｜
｜－－－－その他クライアント

この状態でPC1・PC2のみアクセスできる設定にしたく
ポリシーに色々設定をしているのですが、その他クライアントからも
なんら支障なくアクセスができております。

説明が不足していることがありましたら、情報を提供いたしますので
ご助言願います。

No.1 回答者： Toshi0230 回答日時： 2005/04/21 02:29

「ポリシー」の内容がわからないと、誰も回答のしようがないと思いますが…

この回答への補足

すみません、書き込んだときにてんぱってて情報が不足すぎでした。。。

NetScreenの機種：Netscreen-5GT

サーバ、その他クライアント共にすべて同セグメントのIPアドレスで通信をしております。
今回HUBとサーバの間にNetscreenを入れて、特定のクライアント以外からは一切のアクセスが
できないようにしようとしています。
また、サーバからは全クライアントにアクセスが可能な状態。

クライアントとサーバを別セグメントにできない為、
Netscreenのtrustポートのみを使用して設定をしなければならないようです。

とりあえず、初期段階の設定としてtrustポート-trustポート間での通信をすべて遮断させようとしているのですが、
その通信に対して、一切の通信を遮断することができず困っております。
※現状、なにをしても問題なくすべての通信ができてしまっております。

設定方法に問題があるのかと思いますが、ポリシーで設定するのか
ルートテーブルを設定するのか、それともほかの何かを
設定しなければならないのか
それすらわからない状況で・・・。

なにかほかに必要な情報がありますでしょうか？
お手数おかけします。

補足日時：2005/04/21 09:11

No.2 回答者： kuma-ku 回答日時： 2005/04/21 18:28

こんにちは

ポリシーの順序が間違っていませんか？
NS を含め、多くのFirewall は、上から順番にマッチング処理を行います。

通常、通したい通信を上に書き、通したくない物を下側に書きます。
そして最後に、全ての通信をどうするかを設定します。

よって、
上）PC1/2 を送信元、サーバを送信先、Permitに設定したポリシー
中）ANY を送信元、サーバを送信先、Denyに設定したポリシー
下）その他の通信制御
という順序で、ポリシーを設定してください。

No.3 回答者： kuma-ku 回答日時： 2005/04/21 19:07

補足です。

以前質問されていた件ですよね？
http://oshiete1.goo.ne.jp/kotaeru.php3?q=1315047

こちらに当該機(NS-5GT)は無いのですが、
ベンダーの知人に確認したところ、
どの5GT アプライアンスでも可能との話しでした。


但し、Screen-OS のバージョンにも依存する可能性があるので、
最新のOS を前提とさせてください。