Netscreenユーザスレ r4.0
>>461 ありがと。SSL捨てればいいが乗り換えしかないかorz Fx昔のバージョンではオブジェクト削除ができなかったこともあったな Defaultのは期限切れの証明書だから新しく自己署名証明書作って それをManagementのCertificateに設定すればOK ググりゃすぐ出てくるでしょ。 SSGでまだ販売してた機種の販売終了が案内されたから、 残ってた6.3系 も2021/1/31でEoE/EoLが決まったよ。 終了ば残念だけど。そもそも後継機が残念過ぎで別メーカ品へ乗り換えているユーザは多いはず。 機種:SSG140 OS:ScreenOS 6.2.0.r6.0 192.168.0.1を必ず1.1.1.1、192.168.0.10を必ず1.1.1.10にアドレス変換をしたいのですが、 下記の設定でそのような動作になるかご教授いただけないでしょうか。 また設定に過不足があるようであれば、その内容についてもご教授いただけないでしょうか。 SSG5-> set interface ethernet0/0 dip 5 shift-from 192.168.0.1 to 1.1.1.1 1.1.1.10 set address trust host1 192.168.0.1/32 set address trust host2 192.168.0.10/32 set address trust hostR1 1.1.1.1/32 set address trust hostR1 1.1.1.10/32 (その他、ポリシー設定あり) <<アドレス変換>>(期待値) 192.168.0.1 → 1.1.1.1 192.168.0.10 → 1.1.1.10 第4カラムが連続していれば、大丈夫そうには見えますが、 アドレスに間がある場合についてが記述がなく困っております。 また、以下のような設定は可能でしょうか。 SSG5-> set interface ethernet0/0 dip 5 shift-from 192.168.0.1 to 1.1.1.1 1.1.1.1 ←既存設定 SSG5-> set interface ethernet0/0 dip 6 shift-from 192.168.0.10 to 1.1.1.10 1.1.1.10 ←追加設定 >>468 vipについては、宛先アドレス変換と認識してました。。 vipの機能を調べてみます。 もし宜しければ設定イメージを教えて頂けないでしょうか。 >>469 やりたいこと書かなきゃ設定イメージ書けんよ >>470 大変失礼しました。 トラスト➡アントラストの通信において 192.168.0.1/24を必ず1.1.1.1/24、192.168.0.10/24を必ず1.1.1.10/24にアドレス変換を行いたいです。 192〜はトラスト、1.1.〜はアントラストになります。 ※変換前後のアドレスの紐付けをどうしても変えられない状況です。 不足な情報があれば、申し訳ないですがご指摘頂きたく。 >>471 目立か… とりあえず、ポリシーでSNATでいいんじゃないかな 出先だから家帰ったらサンプルだせたらだすわ screenosにとんでもない脆弱性がみつかったのを確認しているか? 特定のosバージョンだとCUIでアクセスさえできれば誰でもログインできる。 ソースくらい貼ったれよ 脆弱性が発見されたジュニパーの「ScreenOS」にデフォルトのバックドアパスワード http://japan.zdnet.com/article/35075323/ http://kb.juniper.net/InfoCenter/index?page=content& ;id=JSA10713&actp=search 2015-12 Out of Cycle Security Bulletin: ScreenOS: Multiple Security issues with ScreenOS (CVE-2015-7755, CVE-2015-7756) 公式のやつ。 基本的なことですまん ポリシーベースとルートベースはどちらがパフォーマンスが高いですか VPNね さてISG2000も終売になっちゃったけど 後継機何にするかね かと言ってSRXもクソだしなあ。 使い易いFWが無いなあ。 マ イ ン ド コ ン ト ロ ー ル の手法 ・沢山の人が、偏った意見を一貫して支持する 偏った意見でも、集団の中でその意見が信じられていれば、自分の考え方は間違っているのか、等と思わせる手法 ・不利な質問をさせなくしたり、不利な質問には答えない、スルーする 誰にも質問や反論をさせないことにより、誰もが皆、疑いなど無いんだと信じ込ませる手法 偏った思想や考え方に染まっていたり、常識が通じない人間は、頭が悪いフリをしているカルト工作員の可能性が高い 靖 国 参 拝、皇 族、国 旗 国 歌、神 社 神 道を嫌う カ ル ト 10人に一人は カ ル ト か 外 国 人 「ガ ス ラ イ テ ィ ン グ」 で 検 索 を ! 色々使ってきたが、Screenosがやっぱ一番だわ。 もう開発者残ってないんかな。 screenos6.2において、1つの物理インタフェースにIPv4とIPv6の二つの PPPoEクライアントを割り当て、各々IPアドレスを受け取ることは出来 たでしょうか? ssg5で実際にやろうとすると、2つめのPPPoEにインタフェースを割り当てる 段階で、1つめのインタフェースがプルダウンメニューに無いので選択できない のです。 繋げたいプロバイダはフレッツなのですが、necのwg1800hp2だとこう言う 芸当が簡単にできるのに、SSG5だと上手くいかないので困っています。 Sub-IFを作ってe0/0.1でPPPoEするとか IPv6に対応してるかどうかはわからんけど >>488 とりえあず、サポート終わってる6.2なんか使わず6.3にすれば? >>488 とりあえず試してみます。ありがとうございます。 v6のRAは受け取っているようです。 >>489 すみません。6.3r10でした。 あるゾーン間で全ての通信を遮断したいのですが、ポリシーの 評価順序を私が理解できてないようでうまくいきません。 affiliateというゾーンを作って、アフィサイトのIPを登録し、 Trustからaffiliateへのポリシーを追加して通信を全てrejectに しました。 TrustからUntrustへのポリシーより順番を上に配置したので すが、アフィサイトへpingを打つと通ってしまいます。 何の設定が不味いのでしょうか。 UntrustゾーンのオブジェクトにIP登録して、Trust to Untrustルールに書いてみたら? あと、reject より deny にすべきかと。 >>493 ありがとうございます。助かりました。 しかしながら、できると思っていたことができないことが判って 少々戸惑ってます。 とりあえずTrust→Untrustへのポリシーをコピーし、そこへ拒否 したいアドレスを登録、ポリシー評価の順番を変えたらpingが タイムアウトするようになりました。 私の理解では、テレメトリ用IPや広告系IPの集合を各々ゾーンとして 登録し、Trust→それらのゾーンへ通信を遮断すればよい、と思って いました。 ところが実際の動作をみていると、外部にある送信先によって通信を 遮断するのが目的ならば、何れもTrust to Untrustでポリシーを作らな ければならないです。そういう理解で良いのでしょうか? 誰でも簡単にネットで稼げる方法など 参考までに、 ⇒ 『加藤のセセエイウノノ』 というサイトで見ることができるらしいです。 グーグル検索⇒『加藤のセセエイウノノ』 K4OI9NUL78 中古ssg5を買ってget systemしたら、OSのファイル名がscreen_osなんとかになってました。 以前はssg5ssg20.6.3r10.0みたいな名前だったのですけど、これは正しいのでしょうか? ちなみにリビジョンの部分は6.3.0r23.0って出てます。 間違ったファームウェアが入っているので無ければ良いのですが。 tftp するファイル名を変更したんじゃね?しらんけど。 >>499 レストン 動作も妙なので、いまいち釈然としません。 別のssg5で動作しているconfigを流し込んでもweb guiでアクセスできないと言うか、firefoxがssg5のHTTPSレスポンスを信用できないと弾くので困ってます。 >>500 最近のブラウザでSSGに管理アクセスするときに SelfSignedの証明書とはまた別に、暗号化スイートだかが古くて弾かれてるだけだった気がするけど レストン。マジですか。ガッカリですね。 帰省前にfirefoxのエラーメッセージでググったけど、juniperのフォーラムではそのものズバリって内容がヒットしなかったです。 ちなみにedgeで試したのですがfirefox同様の理由でアクセスを跳ねられてました。edgeを使って管理したことは無いのですが。 Cannot communicate securely with peer: no common encryption algorithm(s). エラーコード: SSL_ERROR_NO_CYPHER_OVERLAP Firefoxのこのエラーメッセージなら フォーラムに回答あったのでSSG5 GTで検証やってみて通ったけど https://forums.juniper.net/t5/ScreenOS-Firewalls-NOT-SRX/ssl-error-no-cypher-overlap-when-trying-acess-to-SSG5/td-p/300865 私が道民の家でお茶をご馳走になったときのこと その家の42歳の息子がむずかりだした。 母親がその子を椅子の上に立たせてパンツを降ろし 牛乳の空きパックを男性器にあてがうと小便をした。 しかもあろうことか空きパックに入ったものをキッチン の流しに捨てたのです。 その慣れた様子からも日常的にしているのでしょう。 SSG後継機にSRX300を検討中なんだが、誰かLTE使ってる人いる? ☆ 日本の、改憲を行いましょう。現在、衆議員と参議院の 両院で、改憲議員が3分の2を超えております。 『憲法改正国民投票法』、でググってみてください。国会の発議は すでに可能です。平和は勝ち取るものです。お願い致します。☆☆ ユニークで個性的な嘘みたいに金の生る木を作れる方法 興味がある人はどうぞ グーグルで検索するといいかも『ネットで稼ぐ方法 モニアレフヌノ』 UXZSI 私たち日本人の、日本国憲法を改正しましょう。 総ム省の、『憲法改正國民投票法』、でググって みてください。拡散も含め、お願い致します。 マルチポストうぜぇ。 そんなことやると逆効果だと思うけどね。 消費税の増税を強行するという愚行に及んでる政権だから憲法改正なんて無理だよ。 read.cgi ver 07.5.0 2024/04/24 Walang Kapalit ★ | Donguri System Team 5ちゃんねる