- PR -

SSG interface自身のinput,outputのフィルタリングについて

1
投稿者投稿内容
ゆっぽ
常連さん
会議室デビュー日: 2006/02/15
投稿数: 40
投稿日時: 2009-04-15 08:59
お世話になります。

SSGの仕様について御教授ください。

ScreenOS v6.0
SSG/Netscreenのフィルタリングは、Zone間ポリシー、Zone内ポリシー、グローバルポリシーと3種類ありますが、
マニュアルを読む限り、インターフェイス自身のINPUT、OUTPUTについては、フィルタリングできないように思えております。

たとえば、ethernet0/0がUntrustZoneにバインドされていた場合、
ethernet0/0自身がOutputするパケット及びInputするパケットはフィルタリングすることは可能なのでしょうか?

以上、宜しくお願い致します。

_________________
############################################
【OpenLaszlo】っておもしろいなぁ。
たらお
大ベテラン
会議室デビュー日: 2006/12/25
投稿数: 206
お住まい・勤務地: 東京・永代通り
投稿日時: 2009-04-15 11:48
SSG的ポリシー記述作法は、

1.Policy_ID
2.Src_Zone
3.Dst_Zone
4.Src_Addr
5.Dst_Addr
6.Service
7.Action

を指定します。いきなりポリシーを書けないので、
・インタフェースのZone定義
・アドレス名称の定義
・その他プリインストールされていないオブジェクトの定義
が事前に必須になります。

例)
#サービスの定義
set service "Proxy" protocol tcp src-port 0-65535 dst-port 8000-8088

#インターフェースのZone定義
set interface "ethernet0/0" zone "Untrust"
set interface "ethernet0/1" zone "Trust"

#アドレス名称定義
set address "Trust" "information" 192.168.1.0 255.255.255.0

#ポリシー定義
set policy id 1 from "Trust" to "Untrust" "Any" "Any" "Proxy" deny log
set policy id 2 from "Trust" to "Untrust" "information" "Any" "HTTP" nat src permit

異なるZoneに属するインタフェース間は基本Denyです。
逆に、複数のインタフェースを同一Zoneに定義することで、
ルーターのように使うこともできます。


_________________
_福田太郎_
たらお
大ベテラン
会議室デビュー日: 2006/12/25
投稿数: 206
お住まい・勤務地: 東京・永代通り
投稿日時: 2009-04-15 12:00
どうも外したようなので;;

(Internet)
  |
  |eth0/0(Untrust/PPPoE)
 [SSG]

などの構成で、SSGを基点/終点としたポリシーを書きたいということでしょうか?
たとえばPPPoEにより、どのアドレスを付与されるか分からないとかなら、
たぶん無理でしょう。

インターリンクの固定IP1ならリーズナブルですよ。

_________________
_福田太郎_
ゆっぽ
常連さん
会議室デビュー日: 2006/02/15
投稿数: 40
投稿日時: 2009-04-15 17:07
御連絡が遅くなりました。
ご回答ありがとう御座います。

>>SSGを基点/終点としたポリシーを書きたいということでしょうか?

はい。その通りです。

Linuxのiptables等に慣れておりましたので、
上記のようなSSGのethernetを基点/終点とするようなフィルタリングを作りたかったのですが、出来ないのであればしょうがないです。

時間を頂き大変ありがとうございました。
1

スキルアップ/キャリアアップ(JOB@IT)