• 締切済み

Juniper SSG5 パケットログについて

お世話になります。 Juniper SSG5 の F/Wパケットポリシーにて透過する通信のみ設定しています。 この状態で、通信を許可していない破棄されたパケットのログを見る方法はありますでしょうか。 又は下記の設定等をしなければ破棄されたログは見れないものでしょうか。 1.ポリシー定義の最終行にDENYポリシーを設定して通信ログをキャプチャする。 2.debugコマンドで通信ログをキャプチャする。(debug flow basic) 以上、宜しくお願いいたします。

みんなの回答

  • e3tatsu
  • ベストアンサー率51% (78/151)
回答No.1

通常だと1.と2.のどちらかの方法を取ることになると思うのですが、 1.と2.の方法がダメな理由とログ取得の経緯をよろしければ教えていただけますか。 また、メーカーサポートに問い合わせるのも1つの手かと思われます。

全文を見る
すると、全ての回答が全文表示されます。
  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • 先日、MIP設定を行っているSSGを保守交換したところ、

    先日、MIP設定を行っているSSGを保守交換したところ、 DIPで外部と通信を行っているサーバは問題なかったのですが MIPで外部と通信を行っているサーバは通信が出来ませんでした。 調べてみると、MIP変換後のグローバルアドレスからarpなどを 吐かない為、対向の機器でarp情報が更新されず、こちらに パケットが戻ってきていませんでした。 対向の機器がキャリアの為、こちらではなんともしがたいところがあります。 簡単に対向のarp情報を更新する事は出来ないでしょうか?

  • YAMAHA RTX1500配下クライアントからのnetscreen remote 接続

    YAHAMA RTX-1500配下のクライアントから SSG140へnetscreen remoteにて接続を行なうと SSG側のログに「received a packet with a bad SPI.」が表示され 切断されてしまう現象が発生しています。 SSGにcommitbitを設定しても改善されません。 該当のクライアントで、EMOBILEを利用して接続をすると 該当の現象は発生しません。 RTX、SSG、netscreen remoteのポリシー設定の変更にて改善は可能でしょうか? 同様の現象を体験された方、技術的観念からの解決方法をご存知の方 些細な情報でも結構ですのでご教示頂ければ幸いです。

  • データを取得して、同じ種類毎に区分する良いやり方はありませんか。

    こんばんは。質問させて頂きます。 C言語で、pcap.hを使った通信フローの区分けをしたいと考えています。区分けの条件は、 1.送受信アドレスが同じであること(送受が逆でも同一) 2.送受信ポートが同じであること(送受が逆でも同一) の2つで、これらを全て満たしているパケットは同一の通信フローと見なし、その通信フローの数を数えるプログラムを目指しています。 パケットをキャプチャするところまではいったのですが、パケットデータを区分けするアルゴリズムが思い浮かばず困っています。どなたかお力添えを頂けないでしょうか。どうぞよろしくお願いします。

  • SSG140 CISCO1812 間、VPN接続

    CISCO1812設定 crypto isakmp policy 15 crypt 3des hash md5 crypto isakmp kei .......... address xxx.xxx.xx.xxx SSG140設定 set ike gateway "gw-office" address yy.yyy.yyy.yy Main outgoing-interface "ethernet0/2" preshare ".............." sec-level compatible set ike gateway "gw-office" nat-traversal unset ike gateway "gw-office" nat-traversal udp-checksum set ike gateway "gw-office" nat-traversal keepalive-frequency 5 上記状態で、接続を試みると以下のエラーが出ます。 Phase-1: no user configuration was found for the received IKE ID type: IP Address,1. CISCOの設定で crypto isakmp kei .......... hostname name とすると、エラーが下記に変わります。 Phase-1: no user configuration was found for the received IKE ID type:Hostname,2. phase1にて、IKE-IDを設定する場所が無い様ですが どのように対処したら宜しいでしょうか? エラーからは、IKE-IDに結びつくユーザの設定が無いと言う事かと思われますが そもそも、CISCOデバイスとのLANtoLANにユーザの設定は要らないかと思われます。 また、CISCO社のページや、Juniper社の説明ページ、その他の解説ページでも LANtoLANでのユーザの設定やIKE-IDに関わる説明を見つける事が出来ませんでした。 SSGとCISCOデバイスでのポリシーベースでのIP-Secの接続を経験された方 解説ページをご存知の方、お力添え頂けますようお願い致します。

  • Juniper SSG5でVPNがつながらない

    今まで2拠点でNS5GTを使ってVPN接続していたのですが、そのうちの1か所のルーターが故障しまして、後継機のSSG5に変えて設定を行い、接続しようとしたのですが、うまくいきません。 環境としましては ●拠点A LAN側IP 192.168.1.253(ルーター) WAN側IP 210.172.XXX.XXX 機種:NS5GT 光回線 ●拠点B LAN側IP 192.168.11.1(ルーター) WAN側IP 61.192.XXX.XXX 機種:SSG5 ADSL回線 接続を開始して最後に下記エラーメッセージが出てしまいます。 (下記のメッセージは拠点A側です) IPSec tunnel on int untrust with tunnel ID 0x2 received a packet with a bad SPI. 61.194.XXX.XXX->210.172.XXX.XXX/104, ESP, SPI 0x8d5d, SEQ 0x3b9 拠点Aから拠点Bには接続でき(PINGもコンピュータ検索も可能です) 拠点Bからはなにもできません。 ネットでしらべたら下記の情報が見つかりましたので試したのですがダメでした。 http://networksecurity.cocolog-nifty.com/blog/2006/12/received_a_pack_9dcb.html よろしくお願いいたします。    

  • パケットキャプチャーについて

    こんにちは 最近、パケットキャプチャーという技術を知ったのですが、これは、どういう物なのでしょうか。 私は、接続しているデバイスのインターネット通信のログを取得できるという物だと思っているのですが・・・ そして、自分のパソコンでの通信のログを同じパソコンでとることは可能なのでしょうか。 乱文失礼いたしました。 ご回答、よろしくお願いします。

  • FW機器を交換したらサーバ応答が無い

    いつもお世話になっております。 このたび社内NWのファイアーウォール機器をSSG5からFotiGate40Cに移行する ことになりました。 DMZ内にはWindowsのWEBサーバ、Linux(Redhat)のDNSサーバと メールサーバ(SendMail)が入ってます。 各種設定をFortiGateに施しSSG5と入れ替えたところ、メール送受信が 接続は確立するものの、移行の通信がタイムアウトになってしまいました。 パケットを採取しFortiGateサポート担当の方に見てもらったところ、 「FortiGateからメールサーバへはちゃんと通信しているが、サーバから応答が無い」 ということが判明しました。 そこでお教えいただきたいのですが、FW機器が変わることでメールサーバーが 応答しなくなる原因について考えられることはどういったことがありますでしょうか? 確認事項のコマンドなども教えていただければ幸いです。 これまでの背景や調査結果、設定状況を以下に列挙します。  ・SSGの設定をした社員は、パスワードを告げずに失踪。  ・メーラーにはPOP3(110番)とSMTP(587番)を設定。ユーザ認証あり。暗号化無し。  ・FortiGate移行後も、WEB閲覧、および、DNSによる名前解決は出来ている。  ・LAN内からメールサーバーにTELNET接続を試みた場合、110番ポートはOKだが   587番ポートは接続不可となる(SSGとFortiGate両方とも)  ・↑をDMZ内からのマシンから実行しても同様の結果になる。  ・メールサーバ内でTELNET接続すると、587番でも接続可能(当たり前か・・・) SSGの中身はパスワード不明なので見れないのですが、 これまでの流れから、各種IPアドレスやFWポリシーはSSGとFortiGateで差異は ないと考えています。あとはメールサーバ内のFW設定が怪しいのかな?と 思うのですが、メールサーバがSSGとFortiGateを区別するのも無理な話のはず。 よって、手詰まりの状態です。 どうぞよろしくお願いいたします。

  • パケットキャプチャを定期的に取得し破棄したい・・・

    パケットキャプチャを定期的に取得し、破棄したいのですが・・・WireSharkでは出来ないですよね? ずーっと取りっぱなしの設定しかできないから定期的に取得して定期的に削除なんて芸当はこのソフトは機能を備えていないらしくて・・・ なにかいい方法はないでしょうか?

  • Juniper SSG140 SNMPトラップ

    SSG140の監視として、監視項目のSNMPトラップを個別設定したいと考えています。電源が故障、ファンが故障などトラップを投げる項目を個別に設定することは可能なのでしょうか。CLIだと可能だと思っているのですが、設定手順が不明です。 また、SNMPトラップでの監視をする際、みなさんはどのような監視方法をしているのでしょうか。現在の案件のベンダー回答では全てのトラップをマネージャへ投げ、マネージャ側で不要なものを受信しないように設定すると回答を受けました。トラップの種類は項目が多く、選定が難しいとの事です。しかし、これではトラフィック量の圧迫、SNMPマネージャの負荷が掛かると考えています。ベンダー回答のやり方が一般的なのでしょうか。 SNMP監視をご経験の方のご意見をいただけると幸いです。よろしくお願い致します。

  • Juniper/SSG5のDMZの設定

    Juniper/SSG5(6.1.0r2.0)のDMZの設定について教えて頂きたい。 Eth0/0(Untrust)は、プロバイダからPPOE経由で、固定IP[8IP]を取得しております。 Eth0/1(DMZ Zone)に、固定IPを使用したサーバ複数台を接続設置しようとしています。 SSG5のネットワークの設定: Untrust側:固定IP[8IP]の1番目 DMZ側 :固定IP[8IP]の2番目 サーバ:固定IP[8IP]の3番目 としました。 固定IPが[8IP]なので、DMZのサブネットマスクを[29]とするとエラーとなり設定を行なうことが出来ません。 DMZのサブネットマスクを[32]とすると設定はできますので DMZのサブネットマスクがUntrustのアドレス範囲となると、設定ができない状況です。 設定漏れ等が考えられます。ご教授をお願いします。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する