Netscreen25 で DMZ->Internetへ接続できません

Netscreen25 で DMZ->Internetへ接続できません(長文)。

下記のような構成で自宅LANを構築しているところです。
TrustZoneからInternetへの接続はできたのですが、DMZからInternetへの接続がどうしてもできません(外部IPへのPing不可、Web見れない)。
この程度のトラブルシューティングもできない初心者ですが、アドバイス等頂ければ幸いです。
OKWave質問時の文字数制限のため、補足にてCONFIGも添付致します。

【構成】
eth1@Netscreen25 === Catalyst2960 === 端末１(Windows7)
・(Trust:192.168.0.0/24)
・I/FはNATモード、192.168.0.1/24

eth2@Netscreen25 === Server(CentOS5.5)
・(DMZ:192.168.254.0/24)
・I/FはNATモード、192.168.254.1/24

eth3@Netscreen25 === 回線終端装置 === (Internet)
・(Untrust:PPPoE接続)
・I/FはRouteモード、IPはISPからグローバルIP自動割当

＜Routing Entries＞
[untrust-vr]
なし
[trust-vr]
*192.168.0.0/240.0.0.0ethernet1C0Root
*110.165.139.70/320.0.0.0ethernet3C0Root
0.0.0.0/0202.216.4.204ethernet3S1Root
*0.0.0.0/0202.216.4.204ethernet3C1Root
*192.168.254.0/240.0.0.0ethernet2C0Root
192.168.254.0/24192.168.254.1ethernet2S1Root
192.168.0.0/24192.168.0.1ethernet1S1Root

【現状】
※Policiesは一時的に全ての方向とプロトコルをPermitにしています。
・PING疎通
◎端末１-> Internet
◎端末１-> Server
◎Server -> eth2@Netscreen25(192.168.254.1)
◎Server -> eth3@Netscreen25(ISPから自動割当されたグローバルIP)
×Server -> Internet(例yahoo.co.jp)
◎Server -> 端末１
・HTTP接続
◎端末１-> Internet
◎端末１-> Server
×Server -> Internet

【症状】
DMZのI/F配下のServerから、Internetに接続することができません。
ちなみに、Server側の設定に問題があるのか調べてみるために、ServerをTrustZoneのI/Fに接続したところ問題なくInternetに接続できました。

【Netscreen25のCONFIG】
※OKWave質問時の文字数制限のため、補足にてCONFIGも添付致します。
※管理者バスワード等のNW設定意外の行は省かせていただきます。
※Netscreen25のOSのバージョンは5.0.0r10d.0です。

No.1 ベストアンサー 回答者： Toshi0230 回答日時： 2010/09/19 04:06

Netscreenはずいぶん前に触ったきりですが、DMZのI/FがNATモードになっているのがまずいんじゃ？

このI/FでNATをかける理由がわかりませんし。

この回答への補足

参考までにCONFIGの一部を補足させていただきます。
【ZONE設定】
set zone "Trust" vrouter "trust-vr"
set zone "Untrust" vrouter "trust-vr"
set zone "DMZ" vrouter "trust-vr"
set zone "VLAN" vrouter "trust-vr"
set zone "Trust" tcp-rst
set zone "Untrust" block
unset zone "Untrust" tcp-rst
set zone "MGT" block
set zone "DMZ" tcp-rst
set zone "VLAN" block
set zone "VLAN" tcp-rst
set zone "Untrust" screen tear-drop
set zone "Untrust" screen syn-flood
set zone "Untrust" screen ping-death
set zone "Untrust" screen ip-filter-src
set zone "Untrust" screen land
set zone "V1-Untrust" screen tear-drop
set zone "V1-Untrust" screen syn-flood
set zone "V1-Untrust" screen ping-death
set zone "V1-Untrust" screen ip-filter-src
set zone "V1-Untrust" screen land
【I/F設定】
set interface "ethernet1" zone "Trust"
set interface "ethernet2" zone "DMZ"
set interface "ethernet3" zone "Untrust"
unset interface vlan1 ip
set interface ethernet1 ip 192.168.0.1/24
set interface ethernet1 nat
set interface ethernet2 ip 192.168.254.1/24
set interface ethernet2 nat
set interface ethernet3 ip ▲.▲.▲.▲/32
set interface ethernet3 route
unset interface vlan1 bypass-others-ipsec
unset interface vlan1 bypass-non-ip
【Policy設定】
set policy id 1 from "Trust" to "Untrust" "Any" "Any" "ANY" permit
set policy id 2 from "Untrust" to "Trust" "Any" "Any" "ANY" deny log count
set policy id 3 from "Trust" to "DMZ" "Any" "Any" "ANY" permit
set policy id 4 from "DMZ" to "Trust" "Any" "Any" "ANY" deny log count
set policy id 5 from "DMZ" to "Untrust" "Any" "Any" "ANY" permit
set policy id 7 from "Untrust" to "DMZ" "Any" "Any" "ANY" deny log count
set policy id 8 from "DMZ" to "Trust" "Any" "Any" "ANY" permit
set policy id 9 from "Untrust" to "DMZ" "Any" "Any" "ANY" permit
set policy id 10 from "Untrust" to "Trust" "Any" "Any" "ANY" permit

以上です。

補足日時：2010/09/19 04:40

この回答へのお礼

早速の回答ありがとうございます。
eth2のRouteモードにしてみましたが、同様の結果になってしまいうまくいきませんでした・・・。

お礼日時：2010/09/19 04:37