Netscreenユーザスレ r4.0

**ScreenOS** · 2011/03/08(火) 21:14:47.29

無難なFWアプライアンス
いつの間にか、前スレ消えてるので、立てておくよ。

http://www.juniper.net/jp/jp/products-services/security/

その他代理店はｇｇｒｋｓ

過去スレ
Netscreenユーザスレ r3.0
http://hibari.2ch.net/test/read.cgi/network/1158592499/

Netscreenユーザスレ r2.0
http://pc8.2ch.net/test/read.cgi/network/1064890311/

Netscreenユーザスレ
http://pc.2ch.net/test/read.cgi/network/1026471990/

**anon** · 2015/03/09(月) 23:04:59.24

>>461
ありがと。SSL捨てればいいが乗り換えしかないかorz
Fx昔のバージョンではオブジェクト削除ができなかったこともあったな

**anonymous** · 2015/04/18(土) 00:23:56.77

Defaultのは期限切れの証明書だから新しく自己署名証明書作って
それをManagementのCertificateに設定すればOK

**anonymous** · 2015/08/20(木) 07:58:38.60

ScreenOSっていつまで続くの？

**Anonymous** · 2015/08/20(木) 09:14:24.14

ググりゃすぐ出てくるでしょ。

SSGでまだ販売してた機種の販売終了が案内されたから、
残ってた6.3系も2021/1/31でEoE/EoLが決まったよ。

**anonymous** · 2015/08/21(金) 20:20:15.81

終了ば残念だけど。そもそも後継機が残念過ぎで別メーカ品へ乗り換えているユーザは多いはず。

**anonymous@**nttkyo046145.tkyo.nt.ngn2.ppp.infoweb.ne.jp · 2015/10/20(火) 22:27:39.37

機種：SSG140
OS：ScreenOS 6.2.0.r6.0

192.168.0.1を必ず1.1.1.1、192.168.0.10を必ず1.1.1.10にアドレス変換をしたいのですが、
下記の設定でそのような動作になるかご教授いただけないでしょうか。
また設定に過不足があるようであれば、その内容についてもご教授いただけないでしょうか。

SSG5-> set interface ethernet0/0 dip 5 shift-from 192.168.0.1 to 1.1.1.1 1.1.1.10

set address trust host1 192.168.0.1/32
set address trust host2 192.168.0.10/32

set address trust hostR1 1.1.1.1/32
set address trust hostR1 1.1.1.10/32

（その他、ポリシー設定あり）

<<アドレス変換>>（期待値）
192.168.0.1 → 1.1.1.1
192.168.0.10 → 1.1.1.10

第4カラムが連続していれば、大丈夫そうには見えますが、
アドレスに間がある場合についてが記述がなく困っております。

また、以下のような設定は可能でしょうか。

SSG5-> set interface ethernet0/0 dip 5 shift-from 192.168.0.1 to 1.1.1.1 1.1.1.1 ←既存設定
SSG5-> set interface ethernet0/0 dip 6 shift-from 192.168.0.10 to 1.1.1.10 1.1.1.10 ←追加設定

**anonymous@**KD111107186159.au-net.ne.jp · 2015/10/21(水) 23:02:23.37

VIPじゃダメなんけ？

**anonymous@**nttkyo046145.tkyo.nt.ngn2.ppp.infoweb.ne.jp · 2015/10/22(木) 06:18:36.05

>>468
vipについては、宛先アドレス変換と認識してました。。
vipの機能を調べてみます。

もし宜しければ設定イメージを教えて頂けないでしょうか。

**ano** · 2015/10/22(木) 08:34:35.05

>>469
やりたいこと書かなきゃ設定イメージ書けんよ

**anonymous@**p61212-mobac01.tokyo.ocn.ne.jp · 2015/10/22(木) 12:31:51.50

>>470
大変失礼しました。

トラスト➡アントラストの通信において 192.168.0.1/24を必ず1.1.1.1/24、192.168.0.10/24を必ず1.1.1.10/24にアドレス変換を行いたいです。
192～はトラスト、1.1.～はアントラストになります。
※変換前後のアドレスの紐付けをどうしても変えられない状況です。

不足な情報があれば、申し訳ないですがご指摘頂きたく。

**ano** · 2015/10/22(木) 21:45:21.63

>>471
目立か…
とりあえず、ポリシーでSNATでいいんじゃないかな
出先だから家帰ったらサンプルだせたらだすわ

**anonymous@**KD182250242008.au-net.ne.jp · 2015/12/24(木) 18:28:20.42

screenosにとんでもない脆弱性がみつかったのを確認しているか？
特定のosバージョンだとCUIでアクセスさえできれば誰でもログインできる。

**anoymous** · 2015/12/24(木) 22:49:20.70

修正版ファームウェア出たね。

**anonymous** · 2015/12/25(金) 08:50:07.53

ソースくらい貼ったれよ

脆弱性が発見されたジュニパーの「ScreenOS」にデフォルトのバックドアパスワード
http://japan.zdnet.com/article/35075323/

**anoymous** · 2015/12/25(金) 22:53:33.99

http://kb.juniper.net/InfoCenter/index?page=content&;id=JSA10713&actp=search
2015-12 Out of Cycle Security Bulletin: ScreenOS: Multiple Security issues with ScreenOS (CVE-2015-7755, CVE-2015-7756)

公式のやつ。

**anonymous@**86.72.239.49.rev.vmobile.jp · 2016/04/16(土) 12:23:16.73

基本的なことですまん
ポリシーベースとルートベースはどちらがパフォーマンスが高いですか
VPNね

**anonymous** · 2016/04/21(木) 09:40:44.57

さてISG2000も終売になっちゃったけど
後継機何にするかね

**anoymous** · 2016/04/24(日) 01:59:31.34

>>477
おなじだよ。

**anonymous** · 2016/04/25(月) 14:52:35.27

後継機種はfortigateになります

**sage** · 2016/04/26(火) 15:01:37.45

fortigate使いにくい

**anoymous** · 2016/04/26(火) 18:13:12.34

かと言ってSRXもクソだしなあ。
使い易いFWが無いなあ。

**anonymous** · 2016/04/26(火) 20:10:18.61

僕パロアルトオオオオオ

**それは** · 2016/04/26(火) 23:36:58.76

遅すぎなんだよおおおおお

**anonymous@**FL1-122-134-21-221.hkd.mesh.ad.jp · 2016/06/01(水) 00:50:01.53

マインドコントロールの手法

・沢山の人が、偏った意見を一貫して支持する
　偏った意見でも、集団の中でその意見が信じられていれば、自分の考え方は間違っているのか、等と思わせる手法

・不利な質問をさせなくしたり、不利な質問には答えない、スルーする
　誰にも質問や反論をさせないことにより、誰もが皆、疑いなど無いんだと信じ込ませる手法

偏った思想や考え方に染まっていたり、常識が通じない人間は、頭が悪いフリをしているカルト工作員の可能性が高い

靖国参拝、皇族、国旗国歌、神社神道を嫌うカルト

10人に一人はカルトか外国人

「ガスライティング」で検索を！

**anonymous** · 2016/06/06(月) 21:07:55.01

色々使ってきたが、Screenosがやっぱ一番だわ。
もう開発者残ってないんかな。

**anonymous** · 2016/08/10(水) 09:55:31.68

>>486
俺もそう思う
勿体ないよなあ

**anonymous@**103-226-44-4.ty4.wi-gate.net · 2017/06/02(金) 12:32:15.88

screenos6.2において、1つの物理インタフェースにIPv4とIPv6の二つの
PPPoEクライアントを割り当て、各々IPアドレスを受け取ることは出来
たでしょうか？

ssg5で実際にやろうとすると、2つめのPPPoEにインタフェースを割り当てる
段階で、1つめのインタフェースがプルダウンメニューに無いので選択できない
のです。

繋げたいプロバイダはフレッツなのですが、necのwg1800hp2だとこう言う
芸当が簡単にできるのに、SSG5だと上手くいかないので困っています。

**anonymous** · 2017/06/02(金) 17:34:17.88

Sub-IFを作ってe0/0.1でPPPoEするとか
IPv6に対応してるかどうかはわからんけど

**sage** · 2017/06/02(金) 19:44:01.18

>>488
とりえあず、サポート終わってる6.2なんか使わず6.3にすれば？

**anonymous@**p3564111-ipngn20201marunouchi.tokyo.ocn.ne.jp · 2017/06/04(日) 00:12:31.36

>>488 とりあえず試してみます。ありがとうございます。
v6のRAは受け取っているようです。

>>489
すみません。6.3r10でした。

**anonymous@**103-226-44-8.ty4.wi-gate.net · 2017/06/06(火) 12:21:49.10

あるゾーン間で全ての通信を遮断したいのですが、ポリシーの
評価順序を私が理解できてないようでうまくいきません。

affiliateというゾーンを作って、アフィサイトのIPを登録し、
Trustからaffiliateへのポリシーを追加して通信を全てrejectに
しました。
TrustからUntrustへのポリシーより順番を上に配置したので
すが、アフィサイトへpingを打つと通ってしまいます。

何の設定が不味いのでしょうか。

**anonymous** · 2017/06/06(火) 21:33:23.03

UntrustゾーンのオブジェクトにIP登録して、Trust to Untrustルールに書いてみたら？
あと、reject より deny にすべきかと。

**anonymous@**p3563087-ipngn20201marunouchi.tokyo.ocn.ne.jp · 2017/06/06(火) 22:04:09.77

>>493 ありがとうございます。助かりました。
しかしながら、できると思っていたことができないことが判って
少々戸惑ってます。

とりあえずTrust→Untrustへのポリシーをコピーし、そこへ拒否
したいアドレスを登録、ポリシー評価の順番を変えたらpingが
タイムアウトするようになりました。

私の理解では、テレメトリ用IPや広告系IPの集合を各々ゾーンとして
登録し、Trust→それらのゾーンへ通信を遮断すればよい、と思って
いました。
ところが実際の動作をみていると、外部にある送信先によって通信を
遮断するのが目的ならば、何れもTrust to Untrustでポリシーを作らな
ければならないです。そういう理解で良いのでしょうか？

**anonymous** · 2017/06/15(木) 20:58:26.31

まだEOLになってないのか
しぶといな

は · 2017/06/15(木) 21:53:32.83

>>494
よろしくもあり、よろしくなくもある

**anonymous@fusianasan** · 2017/12/28(木) 08:49:34.32

誰でも簡単にネットで稼げる方法など
参考までに、
⇒　『加藤のセセエイウノノ』というサイトで見ることができるらしいです。

グーグル検索⇒『加藤のセセエイウノノ』

K4OI9NUL78

**anonymous@fusianasan** · 2017/12/30(土) 11:13:30.47

中古ssg5を買ってget systemしたら、OSのファイル名がscreen_osなんとかになってました。
以前はssg5ssg20.6.3r10.0みたいな名前だったのですけど、これは正しいのでしょうか？
ちなみにリビジョンの部分は6.3.0r23.0って出てます。

間違ったファームウェアが入っているので無ければ良いのですが。

**anoymous** · 2017/12/30(土) 11:20:23.88

tftp　するファイル名を変更したんじゃね？しらんけど。

**anonymous@fusianasan** · 2017/12/31(日) 00:43:02.73

>>499 レストン
動作も妙なので、いまいち釈然としません。
別のssg5で動作しているconfigを流し込んでもweb guiでアクセスできないと言うか、firefoxがssg5のHTTPSレスポンスを信用できないと弾くので困ってます。

**anonymous** · 2017/12/31(日) 19:05:46.45

>>500
最近のブラウザでSSGに管理アクセスするときに
SelfSignedの証明書とはまた別に、暗号化スイートだかが古くて弾かれてるだけだった気がするけど

**anonymous@fusianasan** · 2017/12/31(日) 21:04:27.56

レストン。マジですか。ガッカリですね。
帰省前にfirefoxのエラーメッセージでググったけど、juniperのフォーラムではそのものズバリって内容がヒットしなかったです。

ちなみにedgeで試したのですがfirefox同様の理由でアクセスを跳ねられてました。edgeを使って管理したことは無いのですが。

**anonymous** · 2017/12/31(日) 23:30:43.63

Cannot communicate securely with peer: no common encryption algorithm(s). エラーコード: SSL_ERROR_NO_CYPHER_OVERLAP

Firefoxのこのエラーメッセージなら
フォーラムに回答あったのでSSG5 GTで検証やってみて通ったけど

https://forums.juniper.net/t5/ScreenOS-Firewalls-NOT-SRX/ssl-error-no-cypher-overlap-when-trying-acess-to-SSG5/td-p/300865

**anonymous@fusianasan** · 2018/01/03(水) 07:10:06.06

私が道民の家でお茶をご馳走になったときのこと
その家の42歳の息子がむずかりだした。
母親がその子を椅子の上に立たせてパンツを降ろし
牛乳の空きパックを男性器にあてがうと小便をした。
しかもあろうことか空きパックに入ったものをキッチン
の流しに捨てたのです。
その慣れた様子からも日常的にしているのでしょう。

**anonymous@fusianasan** · 2018/01/28(日) 22:03:06.37

SSG後継機にSRX300を検討中なんだが、誰かLTE使ってる人いる？

**anonymous@fusianasan** · 2018/02/22(木) 19:56:12.90

☆ 日本の、改憲を行いましょう。現在、衆議員と参議院の
両院で、改憲議員が３分の２を超えております。
『憲法改正国民投票法』、でググってみてください。国会の発議は
すでに可能です。平和は勝ち取るものです。お願い致します。☆☆

**anonymous** · 2018/03/04(日) 11:33:59.76

>>505
FWでLTEって使う場面ある？

**anonymous@fusianasan** · 2018/05/21(月) 18:25:16.65

ユニークで個性的な嘘みたいに金の生る木を作れる方法
興味がある人はどうぞ
グーグルで検索するといいかも『ネットで稼ぐ方法　モニアレフヌノ』

UXZSI

**anonymous@fusianasan** · 2018/10/19(金) 17:53:14.52

　私たち日本人の、日本国憲法を改正しましょう。
総ム省の、『憲法改正國民投票法』、でググって
みてください。拡散も含め、お願い致します。

**anonymous@fusianasan** · 2018/10/19(金) 21:45:02.58

マルチポストうぜぇ。
そんなことやると逆効果だと思うけどね。

消費税の増税を強行するという愚行に及んでる政権だから憲法改正なんて無理だよ。

**anonymous** · 2018/11/25(日) 17:12:25.85

ScreenOSもいよいよ終わりかあ。

**anonymous@fusianasan** · 2021/01/13(水) 04:06:50.27

https://i.imgur.com/v3REQbj.jpg