- PR -

Netscreenのポリシー設定について

1
投稿者投稿内容
のじやん
会議室デビュー日: 2002/01/10
投稿数: 15
お住まい・勤務地: 神奈川県横浜市
投稿日時: 2005-06-03 19:19
のじやんと申します。

Netscreen(5XP)のポリシー設定について、どなたかご教授願います。

現在、特定の端末のみからのWebアクセスを許可する設定を行っております。
Netscreenの「Policy」を使用して行う予定ですが、下記の様な現象が発生してしまいます。

<設定内容>
trust-untrustにて、下記ポリシーを設定。
1)Source:10.2.39.224/24
 Destination:any
 Service:HTTP
 Action:Permit

2)Source:10.2.39.231/24
 Destination:any
 Service:HTTP
 Action:Deny

・・・以下、HTTP以外のサービス登録済

<現象>
1)を一番上にした場合、アクセスを止めたい端末(10.2.39.231)でもアクセスが可能になってしまう。
2)を一番上にした場合、アクセスを許可する端末(10.2.39.224)からもアクセス不能になる。

何故か、思い通りに動いてくれません。
どなたか、本内容の対処方法ご存知の方、どうかご教授お願い申し上げます。

なお、端末の数はそんなに無いので、全て登録してグループ設定する予定です。

よろしくお願い申し上げます。
サリオン
会議室デビュー日: 2005/04/22
投稿数: 15
投稿日時: 2005-06-06 19:00
のじやんさん、こんばんわ

たぶんですけど、SourceのIPアドレス指定でサブネットマスクを24で指定しているせいではないでしょうか?
1)の設定で[10.2.39.224/24]ということは、[10.2.39.0]のセグメントの端末を示していると思います。
そうすると[10.2.39.231]のパケットが条件1)によってアクセス可能になる。
逆に2)を一番上にすると、[10.2.39.0]のセグメントの端末のHTTPアクセスが全て遮断されるのではないでしょうか?

[10.2.39.224/32]で指定すれば、多分、おそらくやりたいことが出来るのではないかと思います。
ネット
会議室デビュー日: 2005/04/27
投稿数: 2
投稿日時: 2005-06-06 20:53
サリオンさんの書いているとおりです。
アドレス指定の場合はサブネットを255.255.255.255で指定します。
サブネットを255.255.255.0とすると第4オクテットのアドレスは設定しても
無視されます。
1

スキルアップ/キャリアアップ(JOB@IT)