- ベストアンサー
Netscreen-25でのDMZ構成について
- Netscreen-25でのDMZ構成の設定方法について、わかりやすく解説します。
- DMZ領域でのWebサーバへのアクセス方法やPoliciesの設定について、詳細に説明します。
- DMZとは何か、その役割や制約についても理解を深めることができます。
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
(1)社内LAN領域からWebサーバにローカルIP(192.168.10.10)でアクセスしたい (2)逆にWebサーバから社内LAN領域にアクセスしたい 両方共、実現可能です。 Policiesの設定が上手く行って無いようです。 (1)は Trust=>DMZでHTTPを許可するポリシーを1個 作れば良いです。 作業は 1)ADDRESSに Webサーバ 192.168.10.10/32 TRUSTセグメント 192.168.1.0/24 の2つを定義して 2)ポリシーを作成する NATモードではなくROUTEモードと思います (2)については許可するプロトコルをまず 決定する必要があります。 ANY ANYでポリシーは空けてはだめです。 何かアドバイス、参考になるURL等ご存知の方 お返事頂けますと幸いです。宜しくお願いいたします。 =>購入した会社のサポートに電話して見ては どうでしょうか?
その他の回答 (1)
- cocom32
- ベストアンサー率58% (75/129)
>NATモードではなくROUTEモードと思います >Interfacesの画面の「Interface Mode」の事でしょうか? その通りです。 ADRESSでDMZとTRUSTEDでWEBサーバーや内部の端末のアドレスを設定したほうがいいです。 set address dmz "WWWサーバ" 192.168.10.10 255.255.255.255 "WWWサーバ" set address trust "運用管理端末" 192.168.1.20 255.255.255.255 "運用管理端末" そのあとservice の Customg画面 New Groupで追加します。 set group service "HTTP & HTTPS & DNS" comment "HTTP & HTTPS & DNS" set group service "HTTP & HTTPS & DNS" add "HTTP" set group service "HTTP & HTTPS & DNS" add "HTTPS" set group service "HTTP & HTTPS & DNS" add "DNS" set group service "HTTP & HTTPS & DNS" add "NTP" set group service "FTP & TELNET" comment "FTP & TELNET" set group service "FTP & TELNET" add "FTP" set group service "FTP & TELNET" add "NTP" set group service "FTP & TELNET" add "TELNET" それからpolicyの登録です。 外部からWEBサーバーへこれはMIPで指定です。 set policy id 1 name "ANY to WWWserver" incoming "Outside Any" "MIP(210.111.222.10)" "HTTP & HTTPS & DNS" Permit log WEBサーバーから外部へこれはDMZのWEBサーバーアドレスでの指定です。MIPにしないで set policy id 2 name "WWWserver to outside" fromdmz "WWWサーバ" "Outside Any" "HTTP & HTTPS & DNS" Permit log 内部のPCからWEBサーバーへ set policy id 3 name "DMZ WWW" todmz "Inside Any" "WWWサーバ" "HTTP & HTTPS & DNS" Permit log 内部WEBサーバー管理端末からWEBサーバーへ set policy id 4 name "端末 to DMZ" todmz "運用管理端末" "WWWサーバ" "FTP & TELNET" Permit log WEBサーバーから内部へ ANY ANYの登録ですがこれは危険ですから通過サービスをきちんと決定したほうがいいです。 set policy id 5 name "DMZ to Inside" fromdmz "WWWサーバ" "Inside Any" "ANY" Permit log 最後にすべての方向のDenyを必ず記述してください。 これをしないとなんの為のファイやウォールかわからなくなります。 set policy id 25 name "DROP ALL" incoming "Outside Any" "Inside Any" "ANY" Deny log set policy id 26 name "DROP" outgoing "Inside Any" "Outside Any" "ANY" Deny log set policy id 27 name "DROP ALL FROM INSIDE" todmz "Inside Any" "DMZ Any" "ANY" Deny log set policy id 28 name "DROP ALL FROM OUTSIDE" todmz "Outside Any" "DMZ Any" "ANY" Deny log set policy id 29 name "DROP ALL TO INSIDE" fromdmz "DMZ Any" "Inside Any" "ANY" Deny log set policy id 30 name "DROP ALL TO OUTSIDE" fromdmz "DMZ Any" "Outside Any" "ANY" Deny log policyの id番号には注意してください。 Denyの設定番号は、通過のidより必ず大きい番号になるようにしてください。 そうしないと、Denyが優先されてしまいます。 サンプルなので、簡単ですがこんな感じでしょうか。 configの記述で書きましたが、WEB設定画面での項目は 類推してください。 inside → outside outside → inside dmz → outside outside → dmz dmz → inside inside → dmz この6つの方向のサービスの通過policyをマトリックスにして検討することが重要です。 がんばってくださいね。
お礼
ご教示ありがとうございます! ほんの今さっき解決しました。DMZのInterface自体の設定が間違っておりました。 Policyについては今から設定しますので参考にさせて頂きます。 ありがとうございました。
お礼
解決しました! DMZゾーンのVirtual Routerの設定がおかしかったようです。 なぜかUntrust-vrになっていました。 一旦DMZの情報削除して、VRを設定し、gonta-pqさんのとおりPolicyを 設定すればちゃんと動作しました。 ありがとうございました。 念のため下記に対応を記述しておきます。 --------------------------------- 1.一旦DMZのInterface情報を削除 「IP Address」「Manage IP」を0.0.0.0に変更 2.Virtual Routerを変更 Network -> Zones よりゾーンネーム「DMZ」をEdit。 「Virtual Router Name」を「trust-vr」に変更。 3.DMZのInterfaceを設定し、Policiesを設定 ---------------------------------
補足
ご教示いただきありがとうございます。 いろいろ試したのですが、結果的に進展しておりません…。 >(1)社内LAN領域からWebサーバにローカルIP(192.168.10.10)でアクセスしたい ご教示頂いた通りポリシーを作成してみたのですが、やはりアクセスできないようです。 >NATモードではなくROUTEモードと思います モードとはポリシーの設定画面で決めれるものなのでしょうか? それともInterfacesの画面の「Interface Mode」の事でしょうか? >(2)逆にWebサーバから社内LAN領域にアクセスしたい やはりこちらもダメみたいです。any anyで設定してもダメでした… そもそもDMZ領域のWebサーバから外部にアクセスできていない事に気づきました。 DMZのWebサーバ(192.168.10.10)から、netscreen(192.168.10.1)へはPING通るのですが、 インターネット上へのサーバへはアクセスできておりません。 なお、DMZ->Untrustはany any Permitで設定しております。 DMZを使うにあたり、ルーティング等の設定も必要なのでしょうか? 何度もお手数をお掛けいたします。