【NetScreen5GT】 デフォルトゲートウェイの設定について

初めて質問させて頂きます。

早速ですが、状況の説明に入らせてもらいます。
・NetScreen5GTを使用しています。
・セグメントを192.168.20(以下A)と192.168.0(以下B)の2つに設定済み。
・NATの設定はしていません。
・AからBのアクセスは不可能、BからAのアクセスは特定のIPだけ可能。
・ルータのIPは192.168.0.5となっています。インターネットに接続している。
・NetScreenはルータの内側にある？と考える。
・A側のポートIPは192.168.20.10、B側のポートIPは192.168.0.10です。
・A側には192.168.20.11のパソコンが1台、B側には192.168.0.110～192.168.0.120のパソコンが11台あります。
・実際にA側のパソコンにアクセスできるB側のパソコンは192.168.0.110だけ。
・B側のパソコンのデフォルトゲートウェイは192.168.0.10に設定する。

ここで質問です。
NetScreen内の設定で、192.168.0.110から192.168.20.11へのアクセス以外は、ルータ(192.168.0.5)をデフォルトゲートウェイにするという設定の仕方がわかりません。

自分で調べていろいろ設定してみましたが、結果的に動作しませんでした。
どこかの設定が悪いのだと思いますが、どこが悪いかさえ検討がつきません。お手上げ状態です(；Д；)
根本的な話になりますが、この様な設定はNetScreenでは無理なのでしょうか？

設定方法を説明している参考サイトを載せて頂ければ幸いです。
説明文が見難い・わかりにくいかもしれませんが、回答の方宜しくお願い致します。

No.1 回答者： Elgado 回答日時： 2006/10/10 16:35

>>自分で調べていろいろ設定してみましたが、結果的に動作しませんでした。

これがどういう状態になっているのかが知りたいところですが・・・
まず、一つ気になったところを・・・
Untrust側のインターフェース設定のところに「Block Intra-Zone Traffic」っていうのがあると思います。
Untrustインタフェースはデフォルトでチェックが入っていると思うのですが。
これは「そのインターフェースに入ってきたトラフィックをそのインターフェースに投げ返さない」という設定です。
なので一度、B側PCからNSに入ったパケットがデフォルトゲートウェイがB側に向いていたとしても上記の設定で
投げ返さないので、NSで吸収されてしまいます。
(A側からのトラフィックはデフォルトゲートウェイに従いルータに投げる筈です。)
ここのチェックを外して試してみてください。
(切り分けのためポリシーは全てPermitとして考えています。)

この回答へのお礼

素早い回答ありがとうございます。

>Untrust側のインターフェース設定のところに「Block Intra-Zone Traffic」っていうのがあると思います。
見つけました。が、既にチェックが外れていました。
どうやらマニュアルを見て外したようです。
察しの通り、切り分けの為のポリシーはPermitでした。
状況説明不足で申し訳ありませんでした。
もう少し設定をいじってみます。
何か気づいたことがあれば、意見の方宜しくお願い致します。

お礼日時：2006/10/10 17:34

No.2 回答者： kuma-ku 回答日時： 2006/10/10 21:30

こんばんは

構成は以下のような感じでしょうか？

[PC-A]-(net-A)-[NS5GT]-(net-B)-[PC-B群]

net-A:192.168.20.0/24
net-B:192.168.0.0/24

net-B には、ルータが1台[192.168.0.5]

この状況で、以下の設定を確認してください。
PC-B 群は、ルータがデフォルトG/W と言うことですので、
ルータにはnet-A のStatic Route は入っていますか？
next-hop はNS5GT の[192.168.0.10]が設定されていますか？

NS5GT の設定は、Trust/Untrust のI/F をよく確認し、
Policy が正しく設定されているか、確認してください。

例えば、net-A がUntrust、net-B がTrust である場合、
Policy にはTrust→Untrust のルールで、
送信元をPC-B の[192.168.0.110]、
送信先をPC-A[192.168.20.11]を
”Permit”するだけでOK です。
戻りの通信は自動で行われるため、
このPolicy が一つあれば要件は満たせます。


”NetScreen内の設定で、192.168.0.110から192.168.20.11へのアクセス以外は、
ルータ(192.168.0.5)をデフォルトゲートウェイにするという設定の仕方がわかりません。”

質問されている以上の内容ですが、NS5GT ではPolicy を設定しなければ遮断するため、
特に設定は必要ありません。


PC-B群がデフォルトG/W にルータを設定していれば、
PC-B 群からPC-A に通信を行おうとする場合、他のネットワークですので、
ルータに通信が転送されます。
ルータは、Routing Table のStatic Route でnet-A のアドレスを確認し、
PC-B 群にnext-hop であるNS5GT であることをリダイレクトで知らせます。
PC-B 群はPC-A 宛のG/W を192.168.0.10 に変更し、NS5GT に通信を転送します。
NS5GT では、受け取った通信が[192.168.0.110]以外はPolicy に無いため通信をDrop させ、
[192.168.0.110]であればPC-A に転送します。

非常に簡単に書きましたが、設定がうまく行っていれば、
以上のような通信プロセスをたどるはずです。

この回答へのお礼

非常に丁寧な回答ありがとうございます。

構成は図に表して頂いた形であっております。
ただ、B側のパソコンのデフォルトゲートをNS5GTにした場合、先にルータを通らないので、教えて頂いた内容が使えない気がするのは読解不足なんでしょうか？

現状でPolicyの設定はB→Aの通信が可能になっています。
上記の設定になっているので、192.168.0.110だけしかAにアクセスできないです。
ただ、192.168.0.110はインターネットに出る事が出来ないのです。

kuma-kuさんの回答内容からだとルータがデフォルトゲートというのが前提なので、自分がやりたい事と少し方向が違う気がします。
方向性は違いますが、今後の参考のために教えて頂いた方法を試してみようと思います。
貴重な意見をありがとうございます。

お礼日時：2006/10/11 08:46

No.3 ベストアンサー 回答者： kuma-ku 回答日時： 2006/10/11 15:39

>・B側のパソコンのデフォルトゲートウェイは192.168.0.10に設定する。

この部分を読み違えていました。

であれば、NS5GT のRouting Table に、
デフォルトG/W の設定でルータ[192.168.0.5]を登録するだけで大丈夫かと。

NS5GT は、先の回答のルータのように、
Internet への通信はPC-B 群にルータを介するよう、
リダイレクトを返します。
リダイレクトの動作にはPolicy は関係しませんので、
特にそれ以外の設定は必要ありません。

具体的な設定方法ですが…
Network > Routing > Destination と進み、
画面右上の”trust-vr”を選択し、”New”をクリックします。
次の画面で、
Network Address/Netmask を”0.0.0.0/0.0.0.0”、
Interface を”net-B側のI/F”、
Gateway を”192.168.0.5”
で登録します。
※Screen-OS 5.2 の説明ですので、他のVersion では少し異なるかもしれません。

すでに登録されている場合、一度確認してみてください。

この回答へのお礼

2度の回答ありがとうございます。
前回の回答の際に頂いた意見のルータの設定を変更するものですが、ルータをいじれないという新たな仕様が発覚した為、実際に使用する事はできませんでした。
しかし、テスト的に行ったところ動作したようなので、次の機会があれば使用させて頂きます。

今回頂いたアドバイスを参考にしてFWの設定を変更した結果、何とか接続が可能になりました。
本当にありがとうございました。

今まではNetworkAddress/Netmaskを192.168.0.110/255.255.255.0と設定していました。
なんでそんな設定にしていたかわかりませんが、よく考えてみるとありえない設定だと思います。
今回の一件でまだまだ勉強が不足を痛感致しました。

今後も意見を頂く事があるかもしれません。
その際はご指導の程宜しくお願いします。

お礼日時：2006/10/11 18:14