フォーラム
Highlighted
フォーラム

SSG5設定について

‎06-28-2012 04:25 PM

はじめまして。ootayと申します。

 

現在、SSG5設定をしており、いくつか不明点があります。

一部、同じような設定は抜粋して記載しています。

現状のConfigも添付します。

 

Interface0/0(Untrust)

Interface IP:203.XXX.XXX..212/28

MIP 203.XXX.XXX.216 ←→10.171.4.126

 

Interface0/3(Trust)

Interface IP:0.0.0.0/0

VLAN Tag:1051:10.171.1.1/24

VLAN Tag:1054:10.171.4.1/24

VLAN Tag:1055:10.171.5.1/24

 

上記状態で事象が

・外部(インターネット)から内部へ疎通が取れない。具体的にはPolicyにてUntrust:Any、

 Trust:MIP(203.XXX.XXX.216)とし、httpsのみ許可しているが設定しているWebページの

 ログインページが表示されない

・Trust側仮想マシンからTag:1051向けのみPingは可能。他のTagへは通らない

 Pingは許可するように設定済み。1054、1055へ接続可能な仮想マシンの設定となっている

・さらにSSG5より内側ににGatewayの役割果たす仮想マシンが存在し、外部側NICには

 10.171.4.126/24、内部側NICに10.171.5.126/24を設定

・他社FWにて試すと以下のとおりいずれの疎通も可能であるため、SSG5の設定に

 問題があると想定

 10.171.4.126から10.171.4.1へPingが通る

 10.171.5.126から10.171.5.1へPingが通る

 10.171.1.126から10.171.1.1へPingが通る

 10.171.1.126を割り当てている仮想マシンからインターネットが利用可能

 

 

解決(不明点)したい内容として

・Interface0/3に対してInterfaceIPの設定は必須であるか(現状は0.0.0.0/0)

・UntrustからTrustへRouting設定はどのようにすべきか

・同じくTrustからUntustへも何かほかに設定が必要であるかどうか

・上記すべてを解消して、外部から内部へ疎通可能とし、内部から外部への疎通も可能としたい

 

 

添付

1件の返信1
Highlighted
フォーラム

Re: SSG5設定について

‎06-29-2012 02:28 PM

ootayさん、

 

ご質問ありがとうございます。

 

以下、eth0/0に対するインタフェースnat設定は不要になるかと思います。

 

set interface ethernet0/0 nat

 

また、他のインタフェースでもインタフェースnat を利用されていますが、インタフェースnatはかなり古いScreenOSのバージョンからの下位互換のみの機能となりますので、以下例のポリシーベースNATを使われた方が新しめの機能などにも対応できてより好ましいです。

 

set policy id 2 from "Trust" to "Untrust"  "Any" "Any" "ANY" nat src permit log

 

トラフィック通過不可の動作時の簡単な切り分けには、debug コマンドが便利です。ご参考として、以下もご参照してみてください。

 

KB12208:'debug flow basic' Example

 

http://kb.juniper.net/InfoCenter/index?page=content&id=KB12208&actp=search&viewlocale=en_US&searchid...