- PR -

NetScreenのポリシー設定について

«前のページへ 1|2|3 次のページへ»
投稿者投稿内容
くおん
大ベテラン
会議室デビュー日: 2004/07/26
投稿数: 154
投稿日時: 2005-04-25 20:10
こんばんわ。
横槍失礼します。

サリオンさんの設定方法で特に問題はないと思います。
以下、注意点。
2番目については言われているとおり特に必要ありません。
3番目についてはdestinationは”ANY”の間違いですよね。
4番目については逆方向も必要です。
また、1番目についても念のため、逆方向も設定してください。
NetScreenはセッションポリシーなので方向も関係します。
kazさんが言われているのはこの逆方向の設定になりますね。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2005-04-26 01:46
引用:

サリオンさんの書き込み (2005-04-25 17:43) より:

引用:

逆でもよいのでは?

その場合で20〜82をdropすると最初の条件が適用されて、以後の条件のマッチングは行われなくなり、NetBIOS/SMBの通信が出来なくなるのでは?

です.
混乱させてゴメンナサイ,ご指摘どおりです.
引用:

くおんさんの書き込み (2005-04-25 20:10) より:

2番目については言われているとおり特に必要ありません。

さらにそのとおりです.
で,くおん様のご指摘どおり,
逆の方向も許可しておいたほうが使いやすいのはそのとおりですが,
そこは case by case です.
名前解決の必要が無かったり,
※lmhosts を使っているなど.
逆方向の通信が生じる余地が無いなら,
むしろ許可しないほうがサリオン様のご希望に沿うかと.
敢えてやるなら 445/tcp ではなく 137/udp で名前解決だけさせるとか.

という話は
http://www.monyo.com/technical/windows/msnet/
この辺をお読みになるともう少し詳しくなれると思います.
サリオン
会議室デビュー日: 2005/04/22
投稿数: 15
投稿日時: 2005-05-04 00:36
引用:

3番目についてはdestinationは”ANY”の間違いですよね。

間違えました。うっかりミスです。

kaz様、くおん様、貴重なご指摘ありがとうございます。
GWがあけたら早速試したいと思います。
サリオン
会議室デビュー日: 2005/04/22
投稿数: 15
投稿日時: 2005-06-20 09:26
やっと設定を変更できました。

共有自体は出来きました。
しかし、マイネットワークに共有したいコンピュータ名が出てこないので、
IPアドレスを直打ちしなければ、共有できません。

137,138,139,445の他に共有で利用しているポートがあるのでしょうか?
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2005-06-20 11:09
こんにちわ.
引用:

サリオンさんの書き込み (2005-06-20 09:26) より:

共有自体は出来きました。
しかし、マイネットワークに共有したいコンピュータ名が出てこないので、
IPアドレスを直打ちしなければ、共有できません。

この問題はむしろ Windows 部屋向きの話でしょう.
「共有できること」と「ブラウズできること」は別の仕組みです.
broadcast を行き来させなければならないのでは?
※NetScreen でそれが出来るかは未確認です.

通常は「同じ network segment に master browser が存在する」のですけど,
サリオン様の環境では master browser が2つ出来てしまうように思われます.
もしそうなら browse させること自体,支障が起きるように思われるのですが...
サリオン
会議室デビュー日: 2005/04/22
投稿数: 15
投稿日時: 2005-06-20 18:34
NetBIOSについて調べなおしました。

共有とブラウジングはまったく違うものでした。

ブラウジングから共有を行うには、138でブラウジング、137で名前解決とブロードキャスト(137と138がどちらを先に行うかは不明)、最後に139で共有へと進んでいるようです。

ということは、最悪137-138を全て通して139だけを破棄すれば、共有は出来ないでしょうか?
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2005-06-20 19:38
引用:

サリオンさんの書き込み (2005-06-20 18:34) より:

ブラウジングから共有を行うには、138でブラウジング、137で名前解決とブロードキャスト(137と138がどちらを先に行うかは不明)、最後に139で共有へと進んでいるようです。

ここと
引用:

ということは、最悪137-138を全て通して139だけを破棄すれば、共有は出来ないでしょうか?

ここは矛盾してませんか?

方向も重要かと.
サリオン
会議室デビュー日: 2005/04/22
投稿数: 15
投稿日時: 2005-06-20 20:23
失礼しました。
書き方がものすごく悪かったです。

つまり、特定のアドレスに対してNetScreenをまたいで、共有をさせないようにするには、
Source       Destination
GROUP(221-254) GROUP(20-82以外) 139,SMB drop
を設定すればいいと思います
137と138で名前解決とブラウジングを行われても、共有(139)の通信が破棄されるからOKだと思います。


現在の設定は、
Source          Destination
1.GROUP(221-254) GROUP(20-82) NetBIOS,SMB permit
2.GROUP(221-254) ANY        NetBIOS,SMB drop
3.GROUP(221-254) ANY        WEB関連 drop
4.ANY          ANY        ANY permit

おそらく2番目の設定で、137,138がdropされるので、ブラウジングされないと思います。
2番目を、
2.GROUP(221-254) ANY  139,SMB drop
このように変更すれば、ブラウジングと名前解決はされるけど、共有の通信は破棄になると思います。

ちなみに逆方向の設定は、全ての通信を通しています。
Source  Destination
ANY     ANY     ANY permit
«前のページへ 1|2|3 次のページへ»

スキルアップ/キャリアアップ(JOB@IT)