Netscreen-25でのDMZ構成

Netscreen-25でのDMZ構成を設定しているのですが、
Netscreenのマニュアルをみてもよく分からず困っております。
ScreenOSは5.0.0r6.0です。

現在の構成は下記のようになっております。
(割振られてるIP : 210.111.222.0/28) IP16個です。

　　至インターネット
　 　　　　　|
--------------------
|　メディアコンバータ　 |
--------------------　　　　　　　　　　　　　210.111.222.10(UntrustのMIPで設定)
　　　　　 　|　　　　　　　　　　　　　　　　　　　　　　　↓
　　　　　 　| 210.111.222.1　　　　　　　 　　　　　192.168.10.10
--------------------　192.168.10.1　　　　--------------------
|　　netscreen-25　　　　|----- Swith ------|　　Webサーバ　　　　　　 |　DMZ領域
--------------------　　　　　　　　　　　　　--------------------
　　　　　　 | 192.168.1.1
　　　　　　 |
------　　|　　　　　　------
|　PC　|-- Switch --|　PC　|　　社内LAN領域
------.20　　　　　.21------


UntrustのMIPの設定は、
　Mapped IP　210.111.222.10
　HostIP　　 192.168.10.10
　VRouter　　trust-vr
としており、PoliciesにはHTTPをPermitする事で、
インターネット側からはWebサーバを参照することができます。

で、やりたい事は、
・社内LAN領域からWebサーバにローカルIP(192.168.10.10)でアクセスしたい
・逆にWebサーバから社内LAN領域にアクセスしたい
のですが、Policiesを設定しても何ともなりません。

何か設定すればできるのか、DMZというのはそういう事はできないのか
それすらも理解しておりません。

何かアドバイス、参考になるURL等ご存知の方
お返事頂けますと幸いです。宜しくお願いいたします。

No.1 ベストアンサー 回答者： gonta-pq 回答日時： 2006/02/08 08:12

(1)社内LAN領域からWebサーバにローカルIP(192.168.10.10)でアクセスしたい

(2)逆にWebサーバから社内LAN領域にアクセスしたい

両方共、実現可能です。

Policiesの設定が上手く行って無いようです。

(1)は
Trust＝＞DMZでHTTPを許可するポリシーを１個
作れば良いです。
作業は
１）ADDRESSに
Webサーバ　192.168.10.10/32
TRUSTセグメント　192.168.1.0/24
の２つを定義して
２）ポリシーを作成する
NATモードではなくROUTEモードと思います

(2)については許可するプロトコルをまず
決定する必要があります。
ANY　ANYでポリシーは空けてはだめです。

何かアドバイス、参考になるURL等ご存知の方
お返事頂けますと幸いです。宜しくお願いいたします。
＝＞購入した会社のサポートに電話して見ては
　　どうでしょうか？

この回答への補足

ご教示いただきありがとうございます。
いろいろ試したのですが、結果的に進展しておりません…。

>(1)社内LAN領域からWebサーバにローカルIP(192.168.10.10)でアクセスしたい
　ご教示頂いた通りポリシーを作成してみたのですが、やはりアクセスできないようです。
>NATモードではなくROUTEモードと思います
　モードとはポリシーの設定画面で決めれるものなのでしょうか？
　それともInterfacesの画面の「Interface Mode」の事でしょうか？

>(2)逆にWebサーバから社内LAN領域にアクセスしたい
　やはりこちらもダメみたいです。any anyで設定してもダメでした…

そもそもDMZ領域のWebサーバから外部にアクセスできていない事に気づきました。
DMZのWebサーバ(192.168.10.10)から、netscreen(192.168.10.1)へはPING通るのですが、
インターネット上へのサーバへはアクセスできておりません。
なお、DMZ->Untrustはany any Permitで設定しております。

DMZを使うにあたり、ルーティング等の設定も必要なのでしょうか？
何度もお手数をお掛けいたします。

補足日時：2006/02/08 14:43

この回答へのお礼

解決しました！
DMZゾーンのVirtual Routerの設定がおかしかったようです。
なぜかUntrust-vrになっていました。
一旦DMZの情報削除して、VRを設定し、gonta-pqさんのとおりPolicyを
設定すればちゃんと動作しました。
ありがとうございました。

念のため下記に対応を記述しておきます。

---------------------------------
1.一旦DMZのInterface情報を削除
　「IP Address」「Manage IP」を0.0.0.0に変更

2.Virtual Routerを変更
Network -> Zones よりゾーンネーム「DMZ」をEdit。
「Virtual Router Name」を「trust-vr」に変更。

3.DMZのInterfaceを設定し、Policiesを設定
---------------------------------

お礼日時：2006/02/08 22:03

No.2 回答者： cocom32 回答日時： 2006/02/08 22:05

>NATモードではなくROUTEモードと思います

>Interfacesの画面の「Interface Mode」の事でしょうか？
その通りです。

ADRESSでDMZとTRUSTEDでWEBサーバーや内部の端末のアドレスを設定したほうがいいです。

set address dmz "WWWサーバ" 192.168.10.10 255.255.255.255 "WWWサーバ"
set address trust "運用管理端末" 192.168.1.20 255.255.255.255 "運用管理端末"

そのあとservice　の Customg画面　New Groupで追加します。

set group service "HTTP & HTTPS & DNS" comment "HTTP & HTTPS & DNS"
set group service "HTTP & HTTPS & DNS" add "HTTP"
set group service "HTTP & HTTPS & DNS" add "HTTPS"
set group service "HTTP & HTTPS & DNS" add "DNS"
set group service "HTTP & HTTPS & DNS" add "NTP"
set group service "FTP & TELNET" comment "FTP & TELNET"
set group service "FTP & TELNET" add "FTP"
set group service "FTP & TELNET" add "NTP"
set group service "FTP & TELNET" add "TELNET"

それからpolicyの登録です。

外部からWEBサーバーへこれはMIPで指定です。
set policy id 1 name "ANY to WWWserver" incoming "Outside Any" "MIP(210.111.222.10)" "HTTP & HTTPS & DNS" Permit log

WEBサーバーから外部へこれはDMZのWEBサーバーアドレスでの指定です。MIPにしないで

set policy id 2 name "WWWserver to outside" fromdmz "WWWサーバ" "Outside Any" "HTTP & HTTPS & DNS" Permit log

内部のPCからWEBサーバーへ
set policy id 3 name "DMZ WWW" todmz "Inside Any" "WWWサーバ" "HTTP & HTTPS & DNS" Permit log

内部WEBサーバー管理端末からWEBサーバーへ
set policy id 4 name "端末 to DMZ" todmz "運用管理端末" "WWWサーバ" "FTP & TELNET" Permit log

WEBサーバーから内部へ　ANY　ANYの登録ですがこれは危険ですから通過サービスをきちんと決定したほうがいいです。

set policy id 5 name "DMZ to Inside" fromdmz "WWWサーバ" "Inside Any" "ANY" Permit log

最後にすべての方向のDenyを必ず記述してください。
これをしないとなんの為のファイやウォールかわからなくなります。
set policy id 25 name "DROP　ALL" incoming "Outside Any" "Inside Any" "ANY" Deny log
set policy id 26 name "DROP" outgoing "Inside Any" "Outside Any" "ANY" Deny log
set policy id 27 name "DROP　ALL　FROM　INSIDE" todmz "Inside Any" "DMZ Any" "ANY" Deny log
set policy id 28 name "DROP　ALL　FROM　OUTSIDE" todmz "Outside Any" "DMZ Any" "ANY" Deny log
set policy id 29 name "DROP　ALL　TO　INSIDE" fromdmz "DMZ Any" "Inside Any" "ANY" Deny log
set policy id 30 name "DROP　ALL　TO　OUTSIDE" fromdmz "DMZ Any" "Outside Any" "ANY" Deny log

policyの　id番号には注意してください。
Denyの設定番号は、通過のidより必ず大きい番号になるようにしてください。
そうしないと、Denyが優先されてしまいます。

サンプルなので、簡単ですがこんな感じでしょうか。
configの記述で書きましたが、WEB設定画面での項目は
類推してください。

inside →　outside
outside →　inside
dmz →　outside
outside →　dmz
dmz →　inside
inside →　dmz

この６つの方向のサービスの通過policyをマトリックスにして検討することが重要です。

がんばってくださいね。

この回答へのお礼

ご教示ありがとうございます！
ほんの今さっき解決しました。DMZのInterface自体の設定が間違っておりました。
Policyについては今から設定しますので参考にさせて頂きます。

ありがとうございました。

お礼日時：2006/02/08 22:11