- PR -

NetScreenでのルーティング設定について

1
投稿者投稿内容
fire
会議室デビュー日: 2006/10/11
投稿数: 2
投稿日時: 2006-10-11 13:55
以下のような環境で、NetScreen-5GTを使用してサーバを
公開できるようにしたいのですがうまくいきません。
これに近い内容がマニュアルのポリシーのところに記述されていたため、
同様の設定等を行いましたが解決しませんでした。
考えられる原因等、お気付きの方がいらっしゃいましたら、
ご教授頂ければと思います。


プロバイダ側ルータIP
 aaa.bbb.ccc.85 (aaa.bbb.ccc.84/30)
    |
    |
    |
 aaa.bbb.ccc.86 : NetScreen untrust側

 xxx.yyy.zzz.65 : NetScreen trust側
    |
    |(xxx.yyy.zzz.64/28)
    |
    ---------------------------------
    |           |
    |           |
    |           |
    |           |
xxx.yyy.zzz.66   xxx.yyy.zzz.67
(公開サーバ)     (公開サーバ)



インターフェース設定
 untrust:aaa.bbb.ccc.86/30、ルータモード
 trust :xxx.yyy.zzz.65/28、ルータモード
    共にother service pingチェック済
    IPは全てグローバルです

ゾーン設定
 untrust:trust-vr(vr)、untrust(Defaulf if)
  trust:trust-vr(vr)、trust(Defaulf if)
    仮想ルータは共に「trust-vr」です

ルーティング設定
 IP/Netmask       Gateway     Interface
 aaa.bbb.ccc.84/30   0.0.0.0     untrust
 0.0.0.0/0        aaa.bbb.ccc.85  untrust
 xxx.yyy.zzz.64/28    0.0.0.0     trust

ポリシー設定
 trust->untrust
  Source  Destination  Service  Action
  Any    Any         ANY    Permit

 untrust->trust
  Source  Destination  Service  Action
  Any    Any         ANY    Permit


この状態にて、pingの反応が以下の状態です。
 xxx.yyy.zzz.66 -> xxx.yyy.zzz.65 ○(疎通OK)
 xxx.yyy.zzz.66 -> aaa.bbb.ccc.86 ○
 xxx.yyy.zzz.66 -> aaa.bbb.ccc.85 ×(疎通NG)
 aaa.bbb.ccc.85 -> aaa.bbb.ccc.86 ○
 aaa.bbb.ccc.85 -> xxx.yyy.zzz.65 ×
 aaa.bbb.ccc.85 -> xxx.yyy.zzz.66 ×

NetScreen内のポート間でも一方の外向けはOKで、内向けはNG。
また、外部ルータにpingは通らないという状況です。

ただ、NetScreenからコンソール接続でpingを実行すると、全て反応があります。
 NetScreen -> xxx.yyy.zzz.65 ○
 NetScreen -> xxx.yyy.zzz.66 ○
 NetScreen -> aaa.bbb.ccc.85 ○
 NetScreen -> aaa.bbb.ccc.86 ○

この後、ポートのアドレスや、サーバのアドレス、ネットワークアドレス等を
objectsのlistとして登録し、ポリシー設定に追加してみましたが、
状況は何も変わりませんでした。
何かしらルーティングに関する設定が不足しているためと思われますが、
それが何なのかわからない状態です。

ご教授のほど、宜しくお願い致します。


[ メッセージ編集済み 編集者: fire 編集日時 2006-10-11 14:05 ]
ant
ベテラン
会議室デビュー日: 2002/07/11
投稿数: 51
投稿日時: 2006-10-11 14:51
aaa.bbb.ccc.85 のルータに xxx.yyy.zzz.64/28 に関する
ルーティング情報が設定されていないのでは?
fire
会議室デビュー日: 2006/10/11
投稿数: 2
投稿日時: 2006-10-11 16:44
ant様

鋭い指摘ありがとうございます。
現時点ではテスト環境であり、実機ではなかったのですが、
確かに、aaa.bbb.ccc.85に戻りのルート設定が抜けておりました。
戻りのルート設定を追加したところ、無事解決致しました。

ありがとうございました。
1

スキルアップ/キャリアアップ(JOB@IT)