- - PR -
NetScreenのポリシー設定について
| 投稿者 | 投稿内容 | ||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2005-04-22 16:43
はじめて投稿します。
サリオンです。 NetScreenを入れているんですが、あるIPアドレスの範囲のPCとファイル共有させたくない場合の設定がイマイチわかりません。 ex). 192.168.100.211以上 と、 192.168.100.20〜82の範囲外のアドレスのPCとファイル共有させたくありません (1-19,83-210) この場合、AddressのListに一つずつアドレスを登録するしかないのでしょうか? そうすると約150コのアドレスを一つずつ登録しなければならないと考えていますが、 現実的にそんな面倒くさいことはしたくないです。 なにか別の方法は無いでしょうか? | ||||||||||||
|
投稿日時: 2005-04-22 17:02
今晩は。
マニュアル存在しないんでしょうか? (どこかにいっちゃったとか?) http://www.juniper.net/techpubs/ にマニュアルありますよ。 
※すいませんが英語の壁は乗り越えて下さい。 | ||||||||||||
|
投稿日時: 2005-04-22 23:31
こんばんわ.
念のために書きますが,それは firewall で制御するものですか? netmask がわからないのでハズシていたら杞憂なのですが, 共有させたくない network は firewall をまたいでいますか? それともその NetScreen は透過させてます? つまり router mode ではなくて bridge として使うのですか? 192.168.100.0 の network の「これとこれ」と指定しても, firewall の片側だけで通信しているなら, それは firewall でどのような rule を書いても無駄ではないかと... | ||||||||||||
|
投稿日時: 2005-04-24 00:35
NAO様
英語苦手ですが、マニュアル訳しながら足掻いてみます。 kaz様 説明不足でした kaz様の言うとおり、firewallをまたいでの通信です。 こんな感じです。 −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−− | NetScreen設置 | −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−− 192.168.100.211以上 |Windows | 192.168.100.20-82 |共有フォルダ通信OK | −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−− 192.168.100.211以上 |Windows | 192.168.100.20-82以外 | 共有フォルダ通信NG | −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−− 192.168.100.211以上 |左からの | ALL | WEBアクセス禁止 | | ||||||||||||
|
投稿日時: 2005-04-24 00:45
こんばんわ.
であれば, 192.168.100.20-82 とそれ以外と, 少ないほうだけ指定してやれば良いのでは? 右 --> 左の「許可したい以外」:禁止 右 --> 左の「許可したい部分」:許可 の順番で protocol を指定して書けば, 特定の場所は通信を禁止しつつ, それ以外は通信できるのではないかと. | ||||||||||||
|
投稿日時: 2005-04-24 13:59
つまりこうゆうことでしょうか?(1,2行目)
ID source destination protocol enable/disable 1 GROUP(221-254) GROUP(20-82以外) NetBIOS,SMB disable 2 GROUP(221-254) GROUP(20-82) NetBIOS,SMB enable 3 GROUP(221-254) GROUP(20-82) WEBアクセス disable 4 ANY ANY ANY enable 例えば上のような設定を行っている場合は、最後にANYですべて通過させているから共有する通信も通ってしまうのでしょうか? それとも、上から順にパケットをチェックして、適合したパケットはその条件より下の条件とのマッチングは行わない? ex).[3]に引っかかったものは、[4]のチェックを行わない もし、上の条件を設定する場合、GROUP化で20-82以外のアドレスを登録しなければならないと思います。 登録するアドレスは2-19,83-220の合計154個のアドレスを1個ずつ登録する方法しかないのでしょうか? | ||||||||||||
|
投稿日時: 2005-04-24 17:20
こんにちわ.
4つめはなぜ permit させるのでしょうか? 1つめで NG なものを drop すれば, そこで引っかからなかったものが2つめで permit されるでしょう. で,3つめでもひっかからなかったものは, 4つめで全て permit させるのでしょうか?
最初に条件が合致したものが適用されたと思います.
逆でもよいのでは? つまり 20 〜 82 を登録して, 1つめで 20 〜 82 を drop して, 2つめで全てのあて先へ NetBIOS/SMB 周りを permit しても条件は同じですよね? | ||||||||||||
|
投稿日時: 2005-04-25 17:43
こんにちわ
ID source destination protocol enable/disable 1 GROUP(221-254) GROUP(20-82以外) NetBIOS,SMB drop 2 GROUP(221-254) GROUP(20-82) NetBIOS,SMB permit 3 GROUP(221-254) GROUP(20-82) WEBアクセス drop 4 ANY ANY ANY permit 1〜3つ目の条件以外のサービスは全て通過させる設定を行おうとしています。 (この場合は2を設定する必要が無いかもしれませんが)
その場合で20〜82をdropすると最初の条件が適用されて、以後の条件のマッチングは行われなくなり、NetBIOS/SMBの通信が出来なくなるのでは? こうすれば通らないでしょうか? [221〜254] → [20〜82] NetBIOS/SMB permit (ここで20〜82の通信はチェックされて下の条件とのマッチングはしない。 20〜82以外の通信はここを素通り) [221〜254] → ANY NetBIOS/SMB drop (20〜82以外(上で20〜82の通信が引っかかっているので、20〜82以外になるはず)のあて先でNetBIOS/SMBの通信が捨て) [221〜254] → ANY WEB関連 drop (WEB関連のアクセスが捨て) ANY → ANY ANY permit (上3つの網に引っかからなかった通信は通る) [ メッセージ編集済み 編集者: サリオン 編集日時 2005-04-25 17:46 ] | ||||||||||||
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。