- ベストアンサー
Netscreen-25でのDMZ構成について
gonta-pqの回答
(1)社内LAN領域からWebサーバにローカルIP(192.168.10.10)でアクセスしたい (2)逆にWebサーバから社内LAN領域にアクセスしたい 両方共、実現可能です。 Policiesの設定が上手く行って無いようです。 (1)は Trust=>DMZでHTTPを許可するポリシーを1個 作れば良いです。 作業は 1)ADDRESSに Webサーバ 192.168.10.10/32 TRUSTセグメント 192.168.1.0/24 の2つを定義して 2)ポリシーを作成する NATモードではなくROUTEモードと思います (2)については許可するプロトコルをまず 決定する必要があります。 ANY ANYでポリシーは空けてはだめです。 何かアドバイス、参考になるURL等ご存知の方 お返事頂けますと幸いです。宜しくお願いいたします。 =>購入した会社のサポートに電話して見ては どうでしょうか?
関連するQ&A
- NetScreen 25 DMZの設定について
NetScreen 25で次のNetwork 構成化のとおりに設定を進めましたところ DMZのネットワーク設定でUntrustで既に使われているアドレスの為、設定が できません。 NetScreen 25ではUntrustとDMZが同じネットワークアドレスを設定することは できないでしょうか? 知っている方がいらっしゃいましたら設定などを含めて教えて頂けると助かります。 Network 構成 ------------------------------------------ メディアコンバーター 10.10.10.1 | | | | 「 Untrust 」 | 10.10.10.0/28 | 「 DMZ 」 10.10.10.0/28 NetScreen 25 --------------------- Server(10.10.10.3) | | 「 trust 」 | 192.168.10.0/24 | | | P C 192.168.10.35 -------------------------------------------------------- NetScreen 25 【 インターフェース設定例 】 interface 1 trust 10.10.10.0/28 interface 2 Untrust 192.168.10.0/24 interface 3 DMZ 10.10.10.0/28
- 締切済み
- ネットワーク
- DMZの構成(Netscreen-25)
こんにちは。Netscreen(25)の構成の仕方について質問があります。 現在、外部に公開しているサーバーがあり(メール、Proxy、Web)、それぞれNIC2枚挿しでglobal/privateそれぞれのIPを一つずつ割り当ててあります。 これらのサーバーのPrivateアドレスと同じサブネットでバックオフィスのPCが繋がっています。 現在Firewall(NetScreen)の新規導入を考えておりますが、DMZ構成の仕方について一つ質問があります。 現在の構成は、 [modem] | | [Switch]---------[Switch]---(backoffice) | | | | | | A B C ←サーバー 考えている構成は以下のようなものです。 [modem] | | |Untrusted [Netscreen-25]---------[Switch]---(backoffice) |DMZ Trusted | | [Switch] | | | | | | A B C 現在はGlobal IP(外部からのアクセス)、Private IP(内部からのアクセス)がサーバーに共存しているのですが、上のような構成の場合、DMZに割り当てるアドレスについて、どのような割り当て方が適当なのでしょうか。 各サーバーのアドレスをPrivateアドレスのみにし、Firewall上で、現在使用しているの各サーバーへのGlobalアドレスへの要求が来たときに、それを対応するサーバーのPrivateアドレスにMapするということは、実際にGlobalアドレスをサーバーに割り当てないでも可能なのでしょうか?
- ベストアンサー
- ネットワーク
- Netscreen25 で DMZ->Internetへ接続できません
Netscreen25 で DMZ->Internetへ接続できません(長文)。 下記のような構成で自宅LANを構築しているところです。 TrustZoneからInternetへの接続はできたのですが、DMZからInternetへの接続がどうしてもできません(外部IPへのPing不可、Web見れない)。 この程度のトラブルシューティングもできない初心者ですが、アドバイス等頂ければ幸いです。 OKWave質問時の文字数制限のため、補足にてCONFIGも添付致します。 【構成】 eth1@Netscreen25 === Catalyst2960 === 端末1(Windows7) ・(Trust:192.168.0.0/24) ・I/FはNATモード、192.168.0.1/24 eth2@Netscreen25 === Server(CentOS5.5) ・(DMZ:192.168.254.0/24) ・I/FはNATモード、192.168.254.1/24 eth3@Netscreen25 === 回線終端装置 === (Internet) ・(Untrust:PPPoE接続) ・I/FはRouteモード、IPはISPからグローバルIP自動割当 <Routing Entries> [untrust-vr] なし [trust-vr] * 192.168.0.0/24 0.0.0.0 ethernet1 C 0 Root * 110.165.139.70/32 0.0.0.0 ethernet3 C 0 Root 0.0.0.0/0 202.216.4.204 ethernet3 S 1 Root * 0.0.0.0/0 202.216.4.204 ethernet3 C 1 Root * 192.168.254.0/24 0.0.0.0 ethernet2 C 0 Root 192.168.254.0/24 192.168.254.1 ethernet2 S 1 Root 192.168.0.0/24 192.168.0.1 ethernet1 S 1 Root 【現状】 ※Policiesは一時的に全ての方向とプロトコルをPermitにしています。 ・PING疎通 ◎端末1-> Internet ◎端末1-> Server ◎Server -> eth2@Netscreen25(192.168.254.1) ◎Server -> eth3@Netscreen25(ISPから自動割当されたグローバルIP) ×Server -> Internet(例yahoo.co.jp) ◎Server -> 端末1 ・HTTP接続 ◎端末1-> Internet ◎端末1-> Server ×Server -> Internet 【症状】 DMZのI/F配下のServerから、Internetに接続することができません。 ちなみに、Server側の設定に問題があるのか調べてみるために、ServerをTrustZoneのI/Fに接続したところ問題なくInternetに接続できました。 【Netscreen25のCONFIG】 ※OKWave質問時の文字数制限のため、補足にてCONFIGも添付致します。 ※管理者バスワード等のNW設定意外の行は省かせていただきます。 ※Netscreen25のOSのバージョンは5.0.0r10d.0です。
- ベストアンサー
- ネットワーク
- NetScreen50でTrust→DMZのPINGが通らない
現在社内LANとインターネットをファイアウォール経由で接続するべく設定を行っているのですが、 ファイアウォールのTrustポート→DMZポート間のpingが通らず困っています。 マニュアルを見ても良く判らないレベルです…。 一応、簡単な構成は以下の通りです。 社内LAN(192.168.*.*) → Switch → FW 192.168.4.254/24 (eth01:Trust) → → FW FW *.*.*.45/29 (eth02:DMZ) → ルータ → インターネット FW機種:NetScreen-50 ・社内LANからはFWのeth01までpingが通ります。 ・FWのeth01(Trust)、eth02(DMZ)共にInterface Modeを"NAT"または"Route"で試してみましたが駄目でした。 ・ポリシーの"Trust to DMZ"で"Any Any Any(またはPing) Permit"と設定してあります。 また、Interfaceの設定でもeth01、02共にPINGは許可してあります。 これを読んで何かお気付きの方がいらっしゃいましたら、ご教授下さると助かります。 よろしくお願い致します。
- ベストアンサー
- ネットワーク
- DMZ領域のWebサーバから外部にアクセスできない
前回別の部分で質問しましたが… 申し訳ないですがもう一度質問させて下さい。 現在社内LANとインターネットをFW経由で接続するべく設定を行っています。 構成は以下の図のとおりです。 Internet | | ------------------ | ブロードバンドルータ | ------------------ | LAN側 *.*.*.41 | | Untrust /eth03 / Route/ trust-vr | *.*.*.45 192.168.100.1 -------------DMZ / eth02 / Route /trust-vr ----------------- | | 192.168.100.254 | | | netscreen-50|-----------------------------| Webサーバ | | | .| | ------------- ----------------- | Trust / eth01 / NAT / trust-vr | 192.168.4.254 | | Switch | | Intranet *は同じセグメントです。 ここで、DMZ領域のWebサーバからルータへの通信ができずに困っています。 ルータの外側からWebサーバへのpingは応答があるのですが、 Webサーバからルータ(*.*.*.41)へのpingがタイムアウトになってしまいます。 しかし、FWのeth02をTrustにするとWebサーバからルータへのpingが通るようになります。 似たような事象の質問(http://oshiete1.goo.ne.jp/kotaeru.php3?q=1950661)があったので 参考にしたのですが、どうしてもこの部分だけが解決しません。 この事について何かお気付きの方がいらっしゃいましたら、ご教示下さると助かります。 よろしくお願い致します。
- ベストアンサー
- ネットワーク
- Juniper/SSG5のDMZの設定
Juniper/SSG5(6.1.0r2.0)のDMZの設定について教えて頂きたい。 Eth0/0(Untrust)は、プロバイダからPPOE経由で、固定IP[8IP]を取得しております。 Eth0/1(DMZ Zone)に、固定IPを使用したサーバ複数台を接続設置しようとしています。 SSG5のネットワークの設定: Untrust側:固定IP[8IP]の1番目 DMZ側 :固定IP[8IP]の2番目 サーバ:固定IP[8IP]の3番目 としました。 固定IPが[8IP]なので、DMZのサブネットマスクを[29]とするとエラーとなり設定を行なうことが出来ません。 DMZのサブネットマスクを[32]とすると設定はできますので DMZのサブネットマスクがUntrustのアドレス範囲となると、設定ができない状況です。 設定漏れ等が考えられます。ご教授をお願いします。
- ベストアンサー
- ネットワーク
- cisco ASA5510でDMZ
NATの設定?で困っています。 WAN-----ASA-----LAN | DMZ--サーバ(グローバルIPとプライベートIP有り) *グローバルIPはISPから固定で貰ったものです。 上記構成で、LAN側からDMZのプライベートIPではアクセスできるのですが、グローバルIPではアクセスできません。 DMZ=WAN(outside) LAN(inside)=WAN(outside) でnat設定してあり、発見しました。 LAN(inside)=DMZ を追加したのですが、上手くいきません。 宜しくお願いします。
- 締切済み
- ネットワーク
- cisco ASA5510でDMZ
NATの設定?で困っています。 WAN-----ASA-----LAN | DMZ--サーバ(グローバルIPとプライベートIP有り) *グローバルIPはISPから固定で貰ったものです。 上記構成で、LAN側からDMZのプライベートIPではアクセスできるのですが、グローバルIPではアクセスできません。 DMZ=WAN(outside) LAN(inside)=WAN(outside) でnat設定してあり、発見しました。 LAN(inside)=DMZ を追加したのですが、上手くいきません。 宜しくお願いします。
- 締切済み
- ネットワーク
- Netscreen25について
Netscreen25について Netscreen25を購入検討中です。 現在はRt105eでddnsを使ってサーバを公開しています。 質問なのですが (1)ルータにファイヤーウォールを接続した時にルータがわにどの様な設定が必要か? (2)DMZにサーバをおいた場合今まで通りDDNSで公開出来ますか? ご回答お待ちしてます。
- ベストアンサー
- ネットワーク
- NetscreenでのリモートVPN
現在Netscreen-25を使用しています。今回リモートユーザー用にVPNの設定をすることになりました。 用途としては、外部のユーザーがインターネット経由でNetscreenのVPNクライアントソフトを使用して社内LANへ接続し、共有フォルダにあるファイルを閲覧することです。 接続してくる相手は自宅DSLもしくは地方拠点LANからで、構成としては標準的なものだと思います。このような構成の場合のNetscreenとRemoteSWの設定について詳しい方がいらっしゃれば、簡単に設定方法、もしくは初心者にも参考になるWebページなどありますでしょうか。 少しでも助になる情報があればと思い投稿しました。 宜しくお願いします。
- ベストアンサー
- ネットワーク
お礼
解決しました! DMZゾーンのVirtual Routerの設定がおかしかったようです。 なぜかUntrust-vrになっていました。 一旦DMZの情報削除して、VRを設定し、gonta-pqさんのとおりPolicyを 設定すればちゃんと動作しました。 ありがとうございました。 念のため下記に対応を記述しておきます。 --------------------------------- 1.一旦DMZのInterface情報を削除 「IP Address」「Manage IP」を0.0.0.0に変更 2.Virtual Routerを変更 Network -> Zones よりゾーンネーム「DMZ」をEdit。 「Virtual Router Name」を「trust-vr」に変更。 3.DMZのInterfaceを設定し、Policiesを設定 ---------------------------------
補足
ご教示いただきありがとうございます。 いろいろ試したのですが、結果的に進展しておりません…。 >(1)社内LAN領域からWebサーバにローカルIP(192.168.10.10)でアクセスしたい ご教示頂いた通りポリシーを作成してみたのですが、やはりアクセスできないようです。 >NATモードではなくROUTEモードと思います モードとはポリシーの設定画面で決めれるものなのでしょうか? それともInterfacesの画面の「Interface Mode」の事でしょうか? >(2)逆にWebサーバから社内LAN領域にアクセスしたい やはりこちらもダメみたいです。any anyで設定してもダメでした… そもそもDMZ領域のWebサーバから外部にアクセスできていない事に気づきました。 DMZのWebサーバ(192.168.10.10)から、netscreen(192.168.10.1)へはPING通るのですが、 インターネット上へのサーバへはアクセスできておりません。 なお、DMZ->Untrustはany any Permitで設定しております。 DMZを使うにあたり、ルーティング等の設定も必要なのでしょうか? 何度もお手数をお掛けいたします。