- PR -

NetScreen5GTでのIPマスカレードの設定について

1
投稿者投稿内容
POKARI
会議室デビュー日: 2003/03/18
投稿数: 3
投稿日時: 2006-04-21 16:02
NetScreen5GTを使って、インターネット側(untrust)から来たアクセスを
プライベート側(trust)の1つのホストにすべて転送したいのですが、実現可能でしょうか?

以前は、バッファローの一般的なルータを使用していたので、
ここのページ(http://www.heiun.info/apache2/port.htm)の設定で実現できました。

マニュアルを読んでPoliciesのNAT-Dstを設定すればいいのかと思い、
From untrust To trust のポリシーで
Source Any , Destination Any, Service Any で
NAT の Destination Translation > Translate to IP に
プライベート側のサーバIP(192.168.x.x)を設定しましたがダメでした。

ロギングしてもログが書かれず、Network > Interfaces > Edit(untrust) の
Management Services の Web UI を有効にして、
インターネット側からアクセスするとScreenOS WebUIのログイン画面になってしまいます。
(IP変換先のサーバ(192.168.x.x)のページが見られることを期待しています。)

ScreenOS WebUIのVersionは 5.0.0r8.1 で、
trust側からuntrust側へPPPoEでインターネット接続だけしていて
VPNの設定などはまだ何もしていません。

以上、NetScreenに詳しい方、ご教授お願いします。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2006-04-21 16:30
こんにちわ.

久しく触っていないので間違っているかもしれませんが,
そういう場合は mapped-ip で設定するのでは?
POKARI
会議室デビュー日: 2003/03/18
投稿数: 3
投稿日時: 2006-04-21 17:47
kazさんありがとうございます。
ご指摘の通り、MIPを設定すれば出来ました。

コマンドラインだとこんな感じです。

インターフェース
  set interface ethernet1 zone trust
  set interface ethernet1 ip [グローバルIP]
  set interface ethernet1 nat

  set interface ethernet3 zone untrust
  set interface ethernet3 ip [プライベートIP(公開サーバ)]

MIP
  set interface ethernet3 mip [プライベートIP(公開サーバ)] host [グローバルIP] netmask 255.255.255.255 vrouter trust-vr

ルート
  set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway [グローバルIP]

ポリシー
  set policy from untrust to trust any mip([プライベートIP(公開サーバ)]) Any permit


さらに、質問なのですが、現在プロバイダーから固定ではなく動的にIPを振られています。
上記の設定だと、[グローバルIP]のところに現在割り当てられているIPを直接書いてしまっていますが、動的にIPが変わっても設定が有効になる設定方法はあるのでしょうか?
BackDoor
ぬし
会議室デビュー日: 2006/02/20
投稿数: 831
投稿日時: 2006-04-24 09:18
割り込み失礼します。

引用:

POKARIさんの書き込み (2006-04-21 17:47) より:
さらに、質問なのですが、現在プロバイダーから固定ではなく動的にIPを振られています。
上記の設定だと、[グローバルIP]のところに現在割り当てられているIPを直接書いてしまっていますが、動的にIPが変わっても設定が有効になる設定方法はあるのでしょうか?


NetScreenの設定経験はありませんが、このようなケースではMIPのhostの
グローバルIP設定部分にDHCPと記述する方法が一般的だと思います。
Wind
ベテラン
会議室デビュー日: 2004/11/10
投稿数: 73
投稿日時: 2006-04-24 11:38
こんにちは。

↓のGoogle結果が回答ではないですか?

Google Netscreen 静的NAT MIP

# Netscreenは久しく触ってないので、はずしてるかも知れませんが……。
# 確か同じような事をやったような気が多々
POKARI
会議室デビュー日: 2003/03/18
投稿数: 3
投稿日時: 2006-04-24 15:58
BackDoorさん、Windさん返信ありがとうございます。

動的IPの場合は、MIPではなくVIPを使えばいいみたいです。
(プロバイダとの接続をし直してもIPが変わらないので、
 IPが変わった場合の確認まで出来てませんが・・・)

Googleの検索結果のページにあるように、InterfaceでVIPの設定を、
Policyで転送を許可するポリシーを設定するだけで良かったみたいです。

いろいろありがとうございました。
1

スキルアップ/キャリアアップ(JOB@IT)