@DMZ設置のサーバのFirewall(iptables)設定の確認。 ASSGのバージョンを教えて。 BPINGはSSGが代理応答している可能性があるからDMZ〜サーバでICMP飛んでいるか確認。 CUntrust to DMZのルールでAny Any Dropのみでロギングしてパケット飛んでいるか確認。 D逆にDMZからUntrustは通信できるのか確認
set interface ethernet*/* dip 4 ***.***.***.97 ***.***.***.97 set policy id *** from "Trust" to "Untrust" "Any" "Any" "ANY" nat src dip-id 4 permit log
ただ既にDIPで.97を使っているため、MIPとして.97を追加することができません。 (本文長すぎエラーになったので続きます。。。) 0049382011/06/03(金) 19:25:49.97ID:kkqYmJmo (続き) MIPなしのまま以下のようにポリシー作成しても、 >>46のやったこと3で書いたようにGlobalポリシーでdenyされてしまいます。。。 set policy id * from "Untrust" to "Trust" "Any" "*.*.*.97/32" "ANY" nat dst ip 192.168.1.11
set address "Trust" "Trust-Seg" 192.168.7.0 255.255.255.0 set address "Untrust" "ISP" 172.16.0.0 255.255.255.0 set interface untrust ext ip 172.16.0.98 255.255.255.248 dip 4 172.16.0.97 172.16.0.97 set interface "untrust" mip 10.0.0.97 host 192.168.7.250 netmask 255.255.255.255 vr "trust-vr" set route 10.0.0.97/32 gateway 192.168.7.250 set policy id 100 from "Trust" to "Untrust" "Trust-Seg" "ISP" "ANY" nat src dip-id 4 permit log set policy id 200 from "Untrust" to "Trust" "ISP" "MIP(10.0.0.97)" "ANY" permit log 0053472011/06/04(土) 13:46:36.86ID:??? PID 100, from Trust to Untrust, src Trust-Seg, dst ISP, service ANY, action Permit
Date Time Duration Source IP Port Destination IP Port Service SessionID In Interface Reason Protocol Xlated Src IP Port Xlated Dst IP Port ID PID Out Interface 2011-06-04 13:41:36 0:00:04 192.168.7.250 46800 172.16.0.113 1024 ICMP 2040 trust Close - RESP 1 10.0.0.97 46800 172.16.0.113 1024
PID 200, from Untrust to Trust, src ISP, dst MIP(10.0.0.97), service ANY, action Permit 2011-06-04 13:42:38 0:00:04 172.16.0.118 1 10.0.0.97 97 ICMP 2040 untrust Close - RESP 1 172.16.0.118 1 192.168.7.250 97
ns-5gt-> get log tra PID 100, from Trust to Untrust, src Trust-Seg, dst ISP, service ANY, action Permit ============================================================================================================ Date Time Duration Source IP Port Destination IP Port Service SessionID In Interface Reason Protocol Xlated Src IP Port Xlated Dst IP Port ID PID Out Interface ============================================================================================================ 2011-06-04 13:52:51 0:00:01 192.168.7.250 47800 172.16.0.118 1024 ICMP 2046 trust Close - RESP 1 10.0.0.97 47800 172.16.0.118 1024 0055502011/06/04(土) 18:41:59.29ID:??? どうもよくよく読んでいると、 >46 の 「やったこと1」で、問題ないはずなんだよね。 MIP設定していれば、逆の通信はSrc-NATが自動的に行われるはず。。。 0056502011/06/04(土) 18:44:48.58ID:??? (続き)
>52 set policy id 100 でsrc dip-id 4 って設定されてるのに ログでは10.0.0.97 にNATされてるから、 やっぱりMIPアドレスでSrc-NATされてますよね。
policy id 100 のSrc-NATをやめて dipとルーティングを削除しても同じように動くと思うのですが 試してもらないでしょうかw 0057anonymous2011/06/04(土) 19:36:32.20ID:???>>56 あーやっと言いたい事が分かった気がする(多分)。つーかMIP必要なくね? 面倒だからホストは立てんけど set interface trust ip 192.168.7.250/24 set interface untrust ip 172.16.0.113/29 set address "Trust" "Globals" 172.16.0.96 255.255.255.248 set address "Trust" "Trust-Seg" 192.168.7.0 255.255.255.0 set address "Untrust" "ISP" 172.16.0.0 255.255.255. set interface untrust ext ip 172.16.0.98 255.255.255.248 dip 4 172.16.0.97 172.16.0.97 set policy id 100 from "Trust" to "Untrust" "Trust-Seg" "ISP" "ANY" nat src dip-id 4 permit log set policy id 200 from "Untrust" to "Trust" "ISP" "Globals" "ANY" nat dst ip 192.168.7.250 permit log set route 172.16.0.96/29 gateway 192.168.7.250 0058anonymous2011/06/04(土) 19:37:34.72ID:??? ns-5gt-> get log tra PID 100, from Trust to Untrust, src Trust-Seg, dst ISP, service ANY, action Permit ============================================================================================================ Date Time Duration Source IP Port Destination IP Port Service SessionID In Interface Reason Protocol Xlated Src IP Port Xlated Dst IP Port ID PID Out Interface ============================================================================================================ 2011-06-04 19:34:18 0:00:03 192.168.7.250 53000 172.16.0.118 1024 ICMP 2046 trust Close - RESP 1 172.16.0.97 1059 172.16.0.118 1024 0059anonymous2011/06/04(土) 19:38:36.31ID:??? PID 200, from Untrust to Trust, src ISP, dst Globals, service ANY, action Permit ============================================================================================================ Date Time Duration Source IP Port Destination IP Port Service SessionID In Interface Reason Protocol Xlated Src IP Port Xlated Dst IP Port ID PID Out Interface ============================================================================================================ 2011-06-04 19:34:22 0:00:04 172.16.0.118 0 172.16.0.97 106 ICMP 2037 untrust Close - RESP 1 172.16.0.118 0 192.168.7.250 106 0060502011/06/04(土) 19:51:58.60ID:??? >57, 58
建前上はそうだが、双方向NATの場合、Juniperは「MIP使え」と公言してた気がする ポリシーでsrc/dst-natを両側からやった場合、設定自体はできるが 想定した変換がうまく行われないようだ まぁそういうのは自分でぶち当たってから考えてみてくれ 0062382011/06/06(月) 11:12:46.63ID:2g+XC76r>>50-61 お休みに試してまでもらって本当にありがとうございます。 お二方(?)のアドバイスを参考に自分なりに格闘し、ext ipのDIPとウソルーティング切ることができました。 set interface ethernet0/0 ip *.*.*.113/29 set interface ethernet0/0 route set interface ethernet0/0 ext ip *.*.*.96 255.255.255.240 dip 4 *.*.*.97 *.*.*.97 set interface ethernet0/1 ip 192.168.1.1/24 set interface ethernet0/1 route (続きます) 0063382011/06/06(月) 11:14:03.78ID:??? set address "Trust" "192.168.1.11/32" 192.168.1.11 255.255.255.255 set policy id 44 from "Trust" to "Untrust" "192.168.1.11/32" "Any" "ANY" nat src dip-id 4 permit log set policy id 46 from "Untrust" to "Trust" "Any" "*.*.*..97/32" "ANY" nat dst ip 192.168.1.11 permit log set route 0.0.0.0/0 interface ethernet0/0 gateway *.*.*.118 set route *.*.*.97/32 interface ethernet0/1 gateway 192.168.1.0 (続きます) 0064382011/06/06(月) 11:15:14.88ID:2g+XC76r>>62-63のように設定し、inboundは疎通するようになりました。 ただ192.168.1.11のhostから*.*.*.113へpingで到達できなくなって(Globalのdenyログにも出ない)、outboundが疎通できません。 そこでuntrust->trustのポリシーをDIP無しの単純な set policy id 44 from "Trust" to "Untrust" "192.168.1.11/32" "Any" "ANY" permit log にしたところpingは通るようになりました。(ただsrc ipが192.168.1.11のままなので外部へは行けず)