- - PR -
Netscreenのポリシー設定について
1
投稿者 | 投稿内容 |
---|---|
|
投稿日時: 2005-06-03 19:19
のじやんと申します。
Netscreen(5XP)のポリシー設定について、どなたかご教授願います。 現在、特定の端末のみからのWebアクセスを許可する設定を行っております。 Netscreenの「Policy」を使用して行う予定ですが、下記の様な現象が発生してしまいます。 <設定内容> trust-untrustにて、下記ポリシーを設定。 1)Source:10.2.39.224/24 Destination:any Service:HTTP Action:Permit 2)Source:10.2.39.231/24 Destination:any Service:HTTP Action:Deny ・・・以下、HTTP以外のサービス登録済 <現象> 1)を一番上にした場合、アクセスを止めたい端末(10.2.39.231)でもアクセスが可能になってしまう。 2)を一番上にした場合、アクセスを許可する端末(10.2.39.224)からもアクセス不能になる。 何故か、思い通りに動いてくれません。 どなたか、本内容の対処方法ご存知の方、どうかご教授お願い申し上げます。 なお、端末の数はそんなに無いので、全て登録してグループ設定する予定です。 よろしくお願い申し上げます。 |
|
投稿日時: 2005-06-06 19:00
のじやんさん、こんばんわ
たぶんですけど、SourceのIPアドレス指定でサブネットマスクを24で指定しているせいではないでしょうか? 1)の設定で[10.2.39.224/24]ということは、[10.2.39.0]のセグメントの端末を示していると思います。 そうすると[10.2.39.231]のパケットが条件1)によってアクセス可能になる。 逆に2)を一番上にすると、[10.2.39.0]のセグメントの端末のHTTPアクセスが全て遮断されるのではないでしょうか? [10.2.39.224/32]で指定すれば、多分、おそらくやりたいことが出来るのではないかと思います。 |
|
投稿日時: 2005-06-06 20:53
サリオンさんの書いているとおりです。
アドレス指定の場合はサブネットを255.255.255.255で指定します。 サブネットを255.255.255.0とすると第4オクテットのアドレスは設定しても 無視されます。 |
1