11-7. NetScreen-50 について `21/04〜09 (1) NetScreen の概要 * 購入する NetScreen-50、正価は120万円弱。製品型番 NS-50。保守は初年度もついてない。1年 分約14万円である。扱っている会社は。(株)日立システム&サ−ビス。住商エレクトロ ニクスの関連会社の ComTex エクシ−・コムテクス(株)。ともかく物が来て、メ−ルが来 てエクセルのユ−ザ登録用紙が添付されていた。記入して購入窓口のSI業者へメ−ルで 送った。購入に当たっては NetScreen-25 でもいいかなと思ったが、NetScreen-50 は HA 構成が採れるということで、NetScreen-50 をとりあえず選ぶことにした。 将来 HA 構成 にするかどうかは分からないが。"備えあれば憂いなし" ということです。 ただし HA 構 成は ScreenOS 4.0 以降で対応とのこと。メモ:2001年の1月のパンフレットによれ ば、NetScreen-10 と 100 しかなかった。価格はその時、尋ねたところ NetScreen-10 が 79.8万円、100 が 190万円だった、品物は日立システム&サ−ビスしか扱ってなかった。 ----------------------------------------------------------------------------- | POWER STATUS HA COMPACT FLASH | | NETSCREEN ○ ○ ○ CONSOLE MODEM _________ 1 2 3 4 | | 50 ○ ○ ○ □ □ [_________] □ □ □ □ | | ALARM SESSION FLASH | ----------------------------------------------------------------------------- 10/100Base-TX 自動認識の4ポ−ト。445x44x274 mm。約 3.6 Kg。ポ−トの4番目は黄色 のシ−ルが貼ってあった、"4th Interface not sopported by ScreenOS 3.0"。 とりあえ ずこのポ−トは使うことはないので、シ−ルは貼ったままにしておく。CONSOLE と MODEM 口、それに1から4のポ−トは RJ-45 である。COMPACT FLASHはコンパクト・フラッシュ のカ−ドがささるようになっている。 カ−ドに NetScreen のログやファイウォ−ルの設 定など記録することができる。これも1つ買っておけばよかった。NetScreen を幾つかの ファイウォ−ルとして設定したいと、今回は考えていたからである。 裏には電源スイッチがあり、空冷ファンが2つある。NetCache や Summit 24 なんか電源 スイッチがなかった、最初あせった。箱には RJ-45 のケ−ブルが数本。 RS-232C の特殊 コネクタ、このコネクタは Ciscoのル−タに付属してきたのと似たような形のものである。 多分 Cisco のでも使えるのでないのか。特殊なコネクタなので、 確か5〜6千円したの でないか。 営業マンさんが NetScreen の細かなパ−ツが載った価格表をもって見ていた。 それで来た物は、一体OSのバ−ジョンは幾つ?、4.0 でなく 3.03 でした。箱を開けた ら紙の英文のドキュメントが幾つか入っていた。でもマニュアル本体は英文のもなかった。 Getting Started NetScreen-50。A3が1枚の裏表。先ずはこれを見ればいのかな。 NetScreen-50 Installer's Guide、Version 3.0.0。20ペ−ジぐらい。 NetScreen Product Documentation。CD−ROM。 NetScreen Release Notes、Version: ScreenOS 3.03r1。18ペ−ジ。 英文での登録用紙。 Register on-line at http://www.netscreen.com/register.htm。 またはFAXで10日以内に、この用紙を送れと英語で書いてある。これ、登録せな いかんのかな。用紙は1枚で裏表書いてあった。 * マニュアルは 日本語マニュアルは製品にはついてこない。公開サイトからとること。PDF になっている。 全部で8部あり、総容量は6メガぐらいある。こんなにプリントできる訳がない、こりゃ 困る。プリントするのは第2部だけでいい。後は VPN だとか、OSPF だとかのことである。 http://www.netscreen.com/support/manuals_japanese.html NetScreen 概要と用例 ScreenOS リファレンスガイド 第1部:概要 NetScreen Concepts & Examples Vol.1 Overview Guide for ScreenOS 4.0.0 ( 〜2.08 MB ) 62ペ−ジ NetScreen 概要と用例 ScreenOS リファレンスガイド 第2部:基本 NetScreen Concepts & Examples Vol.2 Fundamentals Guide for ScreenOS 4.0.0 ( 〜12 MB ) 426ペ−ジ [ 製品リリ−スの最新技術情報 ] http://www.netscreen.com/support/ の Software Download を選択し、登録ユ−ザのパ スワ−ドなど入れる。ん?、そんなパスワ−ドなんか来たかや、探してみよ。 * マニュアル全然理解できません SonicWALL は買ってすぐ設定できたが、NetScreen はまるでダメ。マニュアルは翻訳され てはいるが日本語になってない。それでしばらくほかっていたが 「N+I Network Guide」 2003/09、リニュ−アル2号に NetScreenの結構詳しい記事が載った。第1特集:ファイア ウォ−ル最適活用のポイント。DMZもある場合のセキュリティポリシ−の定義。NetScreen 同士のインタ−ネットVPNの設定、冗長構成、ログについても書いてある。ようやくこ れで触ってみようという気になった。 しかし NetScreen 4.x での記事で、購入して来た NetScreen-50 のバ−ジョンは 3.x である。どうも 3.x 代と 4.x 代では、だいぶ違って いるようである。この雑誌に載っていたポリシ−は、内から外その逆、内から DMZその逆、 外から DMZその逆と、えらい細かい指定をしていた。手元の NetScreenではそんな設定は できないように見える。いやできます、できました。ただし表示は違っていました。 用語が癖者である。仮想システム、仮想ル−タ、仮想デバイスとか仮想と言う言葉がやた ら好きである。仮想ル−タはWANとLAN側、それに DMZ側インタ−フェ−スに対して、 デフォルトで1個ずつ設けられている。仮想システムとか仮想デバイスとかいうのは、ハ イエンドの機種で使える機能でないのか。VLANも設定できるみたいだし、機能が複合 化されていろいろあるので、ややこしくなっている。地域間ポリシ−、ゾ−ン内ポリシ−、 グロ−バルポリシ−、デフォルトのポリシ−という用語も出て来る。地域間というのは内 から外、外から DMZ とかいうこと。ゾ−ン内ポリシ−というのは何?。 該当するコマン ドを叩いてみた。ns50-> set vrouter ?、ns50-> set zone ? これらは unknown keyword と出る。つまりこの NetScreen-50 では、仮想ル−タとゾ−ン内ポリシ−の機能は使えな いということ。ドキュメントがバ−ジョン 4.x 用なので、ますます混乱する訳である。 * NetScreen の特徴 トラフィック・シェ−ピング機能。トラフィックの管理監視と制御を行ない、ネットワ− クの QoS、通信の品質を維持する。8段階の優先順位をパケットのプロトコル別に設定で きる。ATMル−タの説明でトラフィック・シェ−ピングという用語を最初聞いた。 リモ−トの扱い。NetScreen Remote というVPNクライアントソフトウェア。 1ライセ ンス分ぐらい入ってないのかな、ないみたい。10/100/無制限ユ−ザ−ライセンス がある。NetScreen Remote 7.0 から IPSec NAT トラバ−サルに対応。 ユ−ザ認証の証明書管理プロトコル。Online Certificate Validation( OCSP ) は前にも 聞いた。Automated Certificate Enrollment( SCEP ) は初めて聞いた。これらサポ−ト。 Websense というURLフィルタリング・ソフト。ブラックリスト方式。 別なマシンに入 れて連携させるという。日本語サイトも含めて、人が目視確認して有害サイトをピックア ップしている。出始めの頃は WebSENCE といっていた模様。 NetScreen にあらかじめ入っているURLフィルタ機能がある。 NetScreen-50 では48 ヵ所まで登録できる。市販製品の Websense を買う前に、とりあえずこれをやってみよう。 試しに登録してみようと画面を探したけど、どこにそんなメニュ−があるんだ?。 他、WebTrends というソフトとも連携できる。プロトコル別のトラフィックのグラフなど を出すことができる。NAT 越えの IPSec サポ−ト。モデムポ−トの利用はいかに。 アプ ライアンス製品だが、クリティカルでないところでバグも多いという噂である。 ダイナミックル−ティングの OSPF、BGP をサポ−トする。VRRP より賢い NSRP で冗長構 成を取ることができる。NSRP( NetScreen Redundancy Protocol )。 WAN回線の冗長構 成を取れる LinkProof が NetScreen の二重化に対応するとか。 * どうも NetScreen はおかしい テストでシンプルにル−タとして設定している時に、こんなんが出て設定を変えられなく なった。 [Interface] の [Trusted] や [Untrusted] の IP や Gateway の値を一つ変え ては Save してと、何とかできたが。どうも挙動がおかしい。Gateway の値をクリアした い場合は [ 0.0.0.0 ] と入れること。ただ [ 0 ] とか入れると、既についているのがま た出て来てしまう。Gateway に値は [Trusted] と [Untrusted] とで設定することができ る。2つのデフォルト・ゲ−トウェイを設定できるわけで、これには意味がある。通常は LAN側にはデフォルト・ゲ−トウェイは設定しない。WAN側でNATでかつインタ− ネットに行くデフォルト・ゲ−トウェイを設定するのが一般的な設定である。 --------------------------------------------------------------- | There are problem in your system's interface configuration. | | Please fix them before restarting the system. | | ! Hint: check mip/dip setting on the interface | | [ OK ] | --------------------------------------------------------------- (2) NetScreen の基本使い * 最初のアクセスと設定 ポ−ト1番:Trust Port ----- LAN側へ接続。 ポ−ト2番:DMZ Port ----- DMZがあればその口。 ポ−ト3番:Untrust Port ---- WAN側へ接続。 ポ−ト4番:Reserver Port --- 予約ポ−トで使わない。 ポ−ト3番には付属のだいだい色の Cross-over Cable、クロスケ−ブル。 ポ−ト1番には付属の白色の Straight-through Cable、ストレ−トケ−ブル。 [ 3つの操作モ−ドがある ] 1) Transparent Mode --- NetScreen 特有の機能。ブリッジのように働く。 2) NAT( Network Address Translation ) Mode --- 普通のファイアウォ−ル。 3) Route Mode --- NAT モ−ドの機能でIPマスカレ−ド機能をしない。 * 先ずは NetScreen にアクセスしてみる こういうネットワ−ク機器は、 たいがい最初 RS-232C で入ってIPアドレスなんか設定 することになっている。NetScreen もそうだった。 専用の RS-232C ケ−ブルでパソコン に接続し、VT100 端末モ−ドでアクセスする。専用の RS-232C ケ−ブルは、NetScreen側 は CONSOLE ポ−ト RJ-45 の口に接続する、コンピュ−タ側は8ピンの小さい口のコネク タになっていた。以前 Cisco のル−タを買った際に入っていた、 RJ-45 の口がついた黒 色のペラペラした RS-232C ケ−ブルはどうか。試しにやってみたが、 ピンの接続が違っ ているのか、コンピュ−タから NetScreen へ反応はなかった。でも Cisco のに付いてき た口の広い RS-232Cのコネクタも使って、コンピュ−タにつなげたのだが。またはWWW ブラウザから、http://192.168.1.1 とアクセスしてもいいと書いてあった。192.168.1.1 が工場出荷時のデフォルトのIPアドレスになっている。そして最初にアクセスできたら、 先ずはパスワ−ドをデフォルトから変えるようにと。各自説明書を見てやって頂きたい。 * とりあえず Apollo から RS-232C でアクセスしてみる $ tctl -line 1 -default -speed 9600 -bpc 8 -stop 1 -parity none -insync -sync $ /com/emt << F1キ−を押す。 emt> raw -noecho emt> EMT remote mode... F1 to exit. NetScreen PowerPC 405GP BootROM V1.01 (c)1997-2002 NetScreen Technologies Inc. All rights reserved Check Platform...... NS-50 BootROM Checksum.... 260f6609 Detect SDRAM........ 64-bit, 1 bank, 128M bytes Test SDRAM.......... PASS Check Clock......... CPU 266MHz, System 133MHz, PCI 33.3MHz Hit any key to run loader Hit any key to run loader Hit any key to run loader Hit any key to run loader Load image from on-board flash... Ignore image authentication! Start loading... ................................................................. ................................................................. ................................................................. ...... Done. NetScreen Technologies, Inc Copyright, 1997-2001 Version 3.0.3r1.1 Load Manufacture Information ... init manufacture info Done Load NVRAM Information ... (0.0)Done Neptune2 Verify ACL register default value (at hw reset) ... Done Verify ACL register read/write ... Done Verify ACL rule read/write ... Done Verify ACL rule search ... Done MD5("a") = 0cc175b9 c0f1b6a8 31c399e2 69772661 MD5("abc") = 90015098 3cd24fb0 d6963f7d 28e17f72 MD5("message digest") = f96b697d 7cb7938d 525a2f31 aaf161d0 Verify DES register read/write ... Done Install modules (00346510,004d9544) ... done(60) ..................................................................load dns table no additional ttys to setup. ********************************************************* System time: 18 July 2001 06:20:43 If this is the first-time system boot up, Please use the "set clock" command to set system clock. ********************************************************* login: System change state to Active(1) login: netscreen password: ns50-> ns50-> ? clear clear dynamic system info enter enter special mode exec exec system commands exit exit command console get get system information ping ping other host reset reset system save save system parameters set configure system parameters trace-route trace route unset unconfigure system parameters ns50-> get ? address show address book admin show admin information alarm show alarm info arp show arp entries auth show authentication information clock show system clock config show system configuration | ns50-> get clock << 内臓時計の状態だけ出してみた。 Date 07/18/2001 06:26:30, Daylight Saving Time enabled The Network Time Protocol is Disabled Up 0 hours 5 minutes 55 seconds Since 18 July 2001 06:20:34 995437590.385863 seconds since 1/1/1970 0:0:0 GMT GMT time zone area 0:00 GMT time zone offset -1:00 ns50-> exit login: emt> << F1キ−を押して抜ける。 * 時刻をセットする ns50-> set clock ? mm/dd/yyyy month/day/year dst-off disable daylight saving time ntp enable network time protocol timezone GMT Time zone area ns50-> set clock 05/23/2003 ? hh:mm hour/minute ns50-> set clock 05/23/2003 13:55 ns50-> set clock timezone ? GMT time zone hour (-12 to 12) ns50-> set clock timezone 9 ns50-> get clock Date 05/23/2003 23:18:40, Daylight Saving Time enabled The Network Time Protocol is Disabled Up 0 hours 40 minutes 35 seconds Since 23 May 2003 22:38:04 1053731920.993169 seconds since 1/1/1970 0:0:0 GMT GMT time zone area 9:00 << 何か変な気がするが、これでいいみたい。 GMT time zone offset -10:00 タイムゾ−ンを設定してから、時刻を合 ns50-> exit わせるという順番みたいである。 Configuration modified, save? [y]/n << デフォルトは yes です。 Save System Configuration ... Done login: * 管理用のIPアドレスを変える ns50-> set admin ? auth admin authentication settings device-reset reset device for asset recovery format configuration format hw-reset hardware reset device for asset recovery mail mail service manager-ip management host ip name login name password login password port http port scs scs access sys-ip system management ip telnet telnet access user admin users ns50-> set admin sys-ip 192.168.1.9 ns50-> get config Total Config size 2116: set auth type 0 set auth timeout 10 set clock "timezone" 9 set admin format dos set admin name "■■■■" 黒塗です set admin password ■■■■■■■■■■■■ set admin sys-ip 192.168.1.9 | * 1番ポ−トにストレ−トケ−ブルを差し込んだ $ telnet 192.168.1.9 Remote Management Console login: netscreen password: ns50-> ? clear clear dynamic system info enter enter special mode | ns50-> exitConnection closed by foreign host. << この前に exit と入れた。 $ $ /com/emt | System config (2132 bytes) loaded Load System Configuration ........... login: System change state to Active(1) trust interface change state to Up << ストレ−トケ−ブルをつないだら、 trust interface change state to Down << こんなログが出て来た。 trust interface change state to Up << こんなんです。 (3) NetScreen の透過的な使い方 * 基本的な設定 透過モ−ドが設定が簡単そうである。透過モ−ドならセグメントが複数いらないし、テス トするのも容易である。先ずは透過モ−ドから試してみる。設定はLAN側にあるコンピ ュ−タのWWWブラウザから行う。NetScreen のブラウザからの設定では、ブラウザでプ ロキシは使わないようにする、直接接続すること。 ここでは 192.168.1.7 のパソコンか らアクセスする。パソコンと NetScreen はクロスケ−ブルで直結した。 □ FireWall-1 □ INDY LAN側のパソコン PC からアクセ | |.3 スする。WAN側の INDY からはア -------------------------- 192.168.1.0 クセスできなかった。 .9 |WAN側ポ−ト(3) ----------- Untrust 上の設定までで透過的モ−ドになっ |NetScreen| ていた。デフォルトでは、まるで何 ----------- も通さないようになっていた。 LAN側ポ−ト| (1) Trust □ 192.168.1.7 PC Network -> [Policy] -> [Outgoing] ------------------------------------------------------------------------ | http://192.168.1.9 |----------------------------------------------------------------------- | __________ __________ _______ _________ | / Incoming \_/ Outgoing \_/ ToDMZ \_/ FromDMZ \_________________ | | ̄ ̄ ̄ ̄ ̄  ̄ ̄ ̄ ̄  ̄ ̄ ̄ ̄ ̄ | | | ----------------------------------------------------------- | | | |ID|Source|Destination|Service|NAT|Action|Option|Configure| | | | |---------------------------------------------------------| | | | | No policy available | | | | ----------------------------------------------------------- | | | | | | [New Policy] List [ 20 ▼] Per Page | |  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ System -> [Interface] _________ ___________ _____ / Trusted \_/ Untrusted \_/ DMZ \__________________ |  ̄ ̄ ̄ ̄ ̄ ̄  ̄ ̄ ̄ | ---------------------------------------------------------------------------- | | Name | IP |Netmask|Gateway| Managed IP |BW| Mode |Link|Configure| | |-------|-------|-------|-------|------------|--|-----------|----|---------| | | trust |0.0.0.0|0.0.0.0|0.0.0.0|192.168.1.9 | 0|Transparent| Up | Edit | | ---------------------------------------------------------------------------- 透過モ−ドにするには IP,Netmask,Gateway は 0.0.0.0 にすること。Managed IP は装置 へ管理アクセスするためのIPアドレスだから記載は必要である。 NAT か Route モ−ド になっていたそのままの状態では、メニュ−に Transparent は出てこない。 _________ ___________ _____ / Trusted \_/ Untrusted \_/ DMZ \__________________ | ̄ ̄ ̄ ̄ ̄  ̄ ̄ ̄ | ---------------------------------------------------------------- | | Name | IP |Netmask|Gateway| Managed IP |BW|Link|Configure| | |-------|-------|-------|-------|------------|--|----|---------| | |untrust|0.0.0.0|0.0.0.0|0.0.0.0|192.168.1.9 | 0| Up | Edit | | ---------------------------------------------------------------- _________ ___________ _____ / Trusted \_/ Untrusted \_/ DMZ \__________________ | ̄ ̄ ̄ ̄ ̄  ̄ ̄ ̄ ̄ ̄ ̄ | ---------------------------------------------------------------- | | Name | IP |Netmask|Gateway| Managed IP |BW|Link|Configure| | |-------|-------|-------|-------|------------|--|----|---------| | | DMZ |0.0.0.0|0.0.0.0|0.0.0.0|192.168.1.9 | 0|Down| Edit | | ---------------------------------------------------------------- * 許可するパケットを並べる 自分の部署のところで、実験ネットワ−クでプロトコルを1個1個追加しながら動作を確 認していくことにする。[Outgoing] の画面で [New Policy] をクリックして、PING, DNS, HTTP, POP などを追加していく。すぐに有効になってアクセスできるようになる。 Network -> [Policy] -> [Outgoing] ------------------------------------------------------------------------ | http://192.168.1.9 |----------------------------------------------------------------------- | __________ __________ _______ _________ | / Incoming \_/ Outgoing \_/ ToDMZ \_/ FromDMZ \_________________________ | | ̄ ̄ ̄ ̄ ̄  ̄ ̄ ̄ ̄  ̄ ̄ ̄ ̄ ̄ | | | ------------------------------------------------------------------- | | | |ID|Source|Destination|Service|NAT|Action|Option| Configure | | | | |--|------|-----------|-------|---|------|------|-----------------| | | | | 1|Inside| Outside | HTTP |N/A| 〆 | |→|Edit |Disable| | | | | | Any | Any | | | | |←|Remove| | | | | |--|------|-----------|-------|---|------|------|-----------------| | | | | 2|Inside| Outside | PING |N/A| 〆 | |→|Edit |Disable| | | | | | Any | Any | | | | |←|Remove| | | | | |--|------|-----------|-------|---|------|------|-----------------| | | | | 3|Inside| Outside | DNS |N/A| 〆 | |→|Edit |Disable| | | | | | Any | Any | | | | |←|Remove| | | | | |--|------|-----------|-------|---|------|------|-----------------| | | | | 4|Inside| Outside | POP3 |N/A| 〆 | |→|Edit |Disable| | | | | | Any | Any | | | | |←|Remove| | | | | |--|------|-----------|-------|---|------|------|-----------------| | | | | 5|Inside| Outside | MAIL |N/A| 〆 | |→|Edit |Disable| | | | | | Any | Any | | | | |←|Remove| | | | | |--|------|-----------|-------|---|------|------|-----------------| | | | | 6|Inside| Outside | FTP |N/A| × | |→|Edit |Disable| | | | | | Any | Any | | | | |←|Remove| | | | | |--|------|-----------|-------|---|------|------|-----------------| | | | | 8|Inside| Outside | Any |N/A| × | |→|Edit |Disable| | | | | | Any | Any | | | | |←|Remove| | | | | ------------------------------------------------------------------- | | | | | | [New Policy] List [ 20 ▼] Per Page | |  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ | 内から外への "HTTP" から "MAIL" は使える。 [New Policy] でル−ルを設定していく際、 ポリシ−コンフィグレ−ションの画面で Action -> [Permit] とした。"FTP" は使えない。 Action -> [Deny] としたので、{Action} が "×" になっている。これは {Configure}の [Edit] でポリシ−コンフィグレ−ションの画面を出して変更することができる。 {Configure} の [Disable] は、このル−ルは有効になっていることを示す。 例えば1番 のル−ルの "HTTP" を使えなくするには [Disable] をクリック、 すると [Enable] にな る。これで使えなくなる。[Enable] はポリシ−のル−ルの記述が無いものと見なされる。 8番のル−ルは、上記以外のパケットは全て遮断しますという意味である。FireWall-1で も同様のル−ル設定をした。8番でなくて7番じゃないのかと思うが、ル−ルを消したの が適当に詰められないので、こんなようなことになるみたいである。最初0番に"Any" を 設定してたのだが、消したので1番からになっている。 サ−ビス(プロトコル)の定義は、Lists の [Service] -> [Pre-defined] のところにあ る。"FTP", "FTP-Get", "FTP-Put", "MAIL", "POP3" など。 "FTP" はファイルの GET も PUT もできる。"MAIL" は SMTP のことである。 サ−ビスを新しく定義するには Lists -> [Service] -> [Custom] でできる。TCP の8080 ポ−トを許すようにするため HTTP8080 というように名前を付ける。Source Port, Low 0 High 65535。Destination Port, Low 8080 High 8080。Transport ●TCP 6 というように。 ル−ルは後々に追加されていく。最初の方からル−ルは適用される。前には個別のル−ル、 特別なル−ルを記載、後には一般的なル−ルを、最後には全てに適用する "Any"ル−ルを 記述する。ル−ルの順番を変更するには、{Configure} の → 矢印をクリックして、番号 を入れる。FireWall-1 だと任意の場所に入れ込むことができるのだが。 サ−ビスの "Any" と言うのは、本当にどんなパケットでも通すという意味である。 あら かじめ定義されたサ−ビス全てということではない。 内から外へのアクセスで TCP パケ ットの 8100 番を通したいとした際、"Any" 指定はこれも含むということである。 * 設定のセ−ブとロ−ド System -> [Admin] -> [Settings] _____ ________ ______ ____ _________ ____ /Admin\_/Settings\_/Syslog\_/SNMP\_/NS Global\_/ Web\________________________ | ̄ ̄ ̄  ̄ ̄ ̄  ̄ ̄  ̄ ̄ ̄ ̄  ̄ ̄ | System IP Address: [ 192.168.1.9 ] | | Load New Configure Script [C:\My Documen][参照] ●Append to Configuration | ○Replace Configuration | | |---------------------------------------------------------------------------- |[Save Current Configuration] [Apply] [Cancel] | カレントの状態をセ−ブするのは、[Save Current Configuration]をクリックする。画面 が出てくるので、このファイルをディスクに保存するを選ぶ。このブラウザのコンピュ− タのディレクトリに入る。ちなみに、ここでは C:\My Documents\Katou に入った。 ファ イル名は cfg と、とりあえず出るが、適当に名前を付ければいい。 cfg は拡張子という ことではない。ロ−ドする場合は [参照] をクリックする。画面が出て来るので、セ−ブ したファイル名を指定する。{Append to Configuration} は、どうやら現在のル−ルにな いル−ルが、ロ−ドした設定ファイルにあれば追加するということらしい。直ちに有効に なる。{Replace Configuration} はまさに設定ファイルの置き換えである。画面が2つ出 て来て、リブ−トするので2分待って、またアクセスしてくれと出る。 * 管理用IPアドレスを変更する 注意してやらないとネットワ−ク経由でアクセスできなくなってしまう。NetScreen をテ ストしていて何回かはまった。 そうなると RS-232C で接続しないと設定できくなってし まう。一応 WAN 側に NetScreen を設定するパソコンがあるとする。Interface の LAN側 の Manage IP を変更し [Save] する。次に [Admin]->[Settings] の System IP Address にIPアドレスを記入し、[Apply] をクリックする。変更したIPアドレスで http アク セスする。パソコンも変更のセグメントのIPアドレスにしないといけないかも知れない。 インタ−フェ−スの LAN と WAN 側へのアクセスで telnet やWebなど、あらかじめ許 可しておいた方がいい。実際に配備する際に例えば LAN側は telnet をできない等とする。 (4) SonicWALL の代替として設定する * 準備 ホスト系ネットワ−クとの境界点に設置した SonicWALL のことである。 現状の設定はど うなっているか。そんな難しいことにはしていない。内から外へのパケット HTTP, HTTPS, FTP ぐらいを許可しているだけである。外からへ内へのパケット、DMZ であるとか、余分 なことは一切してない。詳しくは、"4-1. 本格IT時代ヘの対応、(5) 部門用ファイアウ ォ−ルの設置"。ybase1.txt を見られたい。ともかく、ここではIPアドレス変換の NAT モ−ドで Any ポジションで、ざっくと設定していくことにする。 □ FireWall-1 □ INDY □ NetCache |.2 |.3 |.5 --------------------------------------------- 192.168.1.0 |.8 | .9 ----------- 稼働中 ----------- IPアドレス変換(NAT) |SonicWALL| |NetScreen| ----------- ----------- □ PC 稼働中 | | .1 |.2 ------------- ------------------------ 192.168.2.0 ホスト系 |.9 ■ |.1 ------------------------ 192.168.3.0 ・FireWall-1 には NetScreen のホストを、オブジェクトとして定義する。IPアドレス 192.168.1.9 から外へ行く通信だけを、FireWall-1 で許可するように設定する。 ・System -> [Interface] -> [Trusted] で Mode NAT にすること。 インタ−フェ−スの LAN、WAN、DMZでIPアドレス変換するのは、LAN側ポ−トだけである。 先にテスト設定した透過モ−ドから NAT モ−ドへ設定し直していたら、 WWWブラウザ でアクセスできなくなってしまった。NAT なのでLAN側のIPアドレスを付けなければ ならない。NetScreen のLAN側ポ−トのIPアドレスを 192.168.2.1 とした。 管理用 IPアドレスは 192.168.1.9 のままにしたので、それでアクセスできなくなった。 どう しようもないので RS-232C ケ−ブルで接続して、ns50-> set admin sys-ip 192.168.2.1 とやった。 RS-232C ケ−ブルは、ちゃんと NetScreen を設定できるまで繋いでおいた方 がいい。ここでは Apollo に RS-232C 接続している。$ /com/emt とやって端末接続をか ければ、いつでもそのままロッグインができる。 * 設定 Network -> [Policy] -> [Outgoing] ------------------------------------------------------------------------ | http://192.168.2.1 |----------------------------------------------------------------------- | __________ __________ _______ _________ | / Incoming \_/ Outgoing \_/ ToDMZ \_/ FromDMZ \_________________________ | | ̄ ̄ ̄ ̄ ̄  ̄ ̄ ̄ ̄  ̄ ̄ ̄ ̄ ̄ | | | ------------------------------------------------------------------- | | | |ID|Source|Destination|Service|NAT|Action|Option| Configure | | | | |--|------|-----------|-------|---|------|------|-----------------| | | | | 8|Inside| Outside | Any | 〆| 〆 | |→|Edit |Disable| | | | | | Any | Any | | | | |←|Remove| | | | | ------------------------------------------------------------------- | | | | | | [New Policy] List [ 20 ▼] Per Page | |  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ とりあえず何でも通すように Any <--> Any で設定する。[Incoming]のところにも、何か ル−ルを入れてみようとしてみたが、ここでは入らなかった。入れることはできませんと メッセ−ジが出た。その後分かったが、この時点ではホストなど1つもオブジェクトを定 義してなかったので、Any しかプル・ダウンメニュ−に出て来なかったのである。 System -> [Interface] _________ ___________ _____ / Trusted \_/ Untrusted \_/ DMZ \__________________ |  ̄ ̄ ̄ ̄ ̄ ̄  ̄ ̄ ̄ | ------------------------------------------------------------------------------ | | Name| IP |Netmask|Gateway| Managed IP|BW|Mode|Link| Configure | | |-----|-----------|-------|-------|-----------|--|----|----|-----------------| | | | | | | | | | | |Dynamic IP | | |trust|192.168.2.1|255.255|0.0.0.0|192.168.2.1| 0| NAT| Up |Edit|------------| | | | | .255.0| | | | | | |Secondary IP| | ------------------------------------------------------------------------------ _________ ___________ _____ / Trusted \_/ Untrusted \_/ DMZ \__________________ | ̄ ̄ ̄ ̄ ̄  ̄ ̄ ̄ | ----------------------------------------------------------------------------- | | Name | IP |Netmask| Gateway |Managed IP|BW|Link| Configure | | |-------|------------|-------|-----------|----------|--|----|---------------| | | | | | | | | | |Mapped IP | | |untrust|192.168.1.9 |255.255|192.168.1.2| 0.0.0.0 | 0| Up |Edit|----------| | | | | .255.0| | | | | |Dynamic IP| | ----------------------------------------------------------------------------- System -> [Configure] -> [Route Table] _______ _______ ___ _____________ ___________ ____ ____________ /General\_/Authen.\_/DNS\_/URL Filtering\_/Route Table\_/DHCP\_/Software Key\__ | ̄ ̄ ̄ ̄  ̄ ̄ ̄ ̄  ̄ ̄  ̄ ̄ ̄ ̄ ̄ ̄ ̄  ̄ ̄ ̄  ̄ ̄ ̄ ̄ ̄ ̄ ̄ | Static Route Table | -------------------------------------------------------------------------- | | Network | | Gateway | | | | | | Address | Netmask | IP | Interface |Metric| Confgiure | | |-------------|-------------|-------------|-----------|------|-----------| | | 192.168.2.0 |255.255.255.0| 0.0.0.0 | trust | 0 | -- | 1) | |-------------|-------------|-------------|-----------|------|-----------| | | 192.168.1.0 |255.255.255.0| 0.0.0.0 | untrust | 0 | -- | 2) | |------------ |-------------|-------------|-----------|------|-----------| | | 0.0.0.0 | 0.0.0.0 | 192.168.1.2 | untrust | 1 | -- | 3) | |-------------|-------------|-------------|-----------|------|-----------| | | 192.168.3.0 |255.255.255.0| 192.168.3.9 | trust | 1 | Edit | 4) | | | | | | | Remove | | -------------------------------------------------------------------------- | | [New Entry]  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ {trust} と {untrust} のIPアドレスを設定しただけでは、[Route Table] には 1)〜3) のル−ルができていた。[New Entry] をクリックして、実際にはないのだが 192.168.3.0 というセグメントを追加してみた。それが 4) のル−ルである。 * 仮想IPアドレスについて << VIP( Virtual IP ) >> NetScreen のLAN側にあるホストをWAN側にあるように見せかけるテクニックである。 Network -> [Virtual IP] で設定する。NetScreen-25/50 では2個、つまり2台のホスト を仮想IPアドレスにできる。NetScreen-100 は4個。とりあえずWAN側のホストから、 ここではたとえば 192.168.1.0 にある INDY から 192.168.1.7 へ telnet できるように してみる。192.168.1.7ホストは実際には存在しない。仮想的な存在である。192.168.1.7 へのアクセスは、つまり 192.168.2.3へのアクセスである。これがうまく行ったら ftpも やってみる。FTP の設定では特に Passive モ−ドうんぬんはなかった。また FireWall-1 でやったような Proxy ARP の設定うんぬん、192.168.1.7 から 192.168.2.3 ヘのホスト 経路の設定もする必要はなかった。こりゃ簡単に設定できる。 仮想IPアドレス INDY <--このマシンから 192.168.1.7 へ telnet すると □ □ Apollo につながる。ftp もできた。 / |.7 |.3 |--------------------------- 192.168.1.0 マップ| |.9 WAN → □ □ □ NetScreen [ Apollo で設定したこと ] |.3 |.2 |.1 LAN ------------------------------- $ /etc/ifconfig eth0 192.168.2.3 Apollo PC 192.168.2.0 $ /etc/route add net 0.0.0.0 192.168.2.1 1 -------------------------------------------------------------------------------- INDY から 192.168.1.7 へ telnet や ftp をやると、マッピング先の 192.168.2.3 へは どこからのアクセスとなるのか。Network -> [Policy] -> [Incoming] で NAT On (緑〆) にしたら、192.168.2.1 からのアクセスとなった。NAT Off (N/A) にしたら 192.168.1.3 からになった。パケットの流れを調べるには、パソコンの PC で Sniffer Basicを動かす。 Apollo で ftpd -l とやって、ftp アクセスのシステム・ログを取ってみた。syslogd と inetd が稼働していることを確認。Apollo では $ tail /usr/adm/syslog とした。 -------------------------------------------------------------------------------- ns50-> get vip Virtual IP Port Service Server/Port 192.168.1.7 23 TELNET 192.168.2.3/23(OK) 192.168.1.7 21 FTP 192.168.2.3/21(OK) ホストのオブジェクトは定義しなくてもいい。IPアドレスで指定する。つまりマッピン グ先である Apollo 192.168.2.3 ホストは、仮想IPアドレスの利用では定義しなくても いい。Network -> [Virtual IP] の画面の {Virtual Server IP} に 192.168.1.7 を入れ、 [New Service] をクリックし、マッピング先IPアドレス 192.168.2.3、それにサ−ビス を指定する。仮想IPアドレスでのサ−ビスの選択には Any も ICMP もない。 ここでは TELNET と FTP を選んでみた。 Network -> [Virtual IP] -> [Virtual IP 1] ______________ ______________ / Virtual IP 1 \_/ Virtual IP 2 \_______________ |  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ | Virtual Service IP 192.168.1.7 | ----------------------------------------------------------------------------- | | Service | Actual Port | Virtual Port | Map to | Status | Configure | | |---------|-------------|--------------|-------------|--------|-------------| | | TELENT | 23 | 23 | 192.168.2.3 | OK | Edit,Remove | | |---------|-------------|--------------|-------------|--------|-------------| | | FTP | 21 | 21 | 192.168.2.3 | OK | Edit,Remove | | ----------------------------------------------------------------------------- | | [New Service]  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ Network -> [Policy] -> [Incoming] *** この設定が肝心である *** __________ __________ _______ _________ / Incoming \_/ Outgoing \_/ ToDMZ \_/ FromDMZ \_____________________________ |  ̄ ̄ ̄ ̄ ̄ ̄  ̄ ̄ ̄ ̄  ̄ ̄ ̄ ̄ ̄ | | ----------------------------------------------------------------------- | | |ID| Source | Destination |Service|NAT|Action|Option| Configure | | | |--|--------|-------------|-------|---|------|------|-----------------| | | | 2| Outside| VIP | TELNET|N/A| 〆 | |→|Edit |Disable| | | | | Any |(192.168.1.7)| | | | |←|Remove| | | | |--|--------|-------------|-------|---|------|------|-----------------| | | | 3| Outside| VIP | FTP |N/A| 〆 | |→|Edit |Disable| | | | | Any |(192.168.1.7)| | | | |←|Remove| | | | ----------------------------------------------------------------------- | * マップIPアドレスについて << MIP( Mapped IP ) >> Mapped IP というのは NetScreen-50 は千個設定できる。IPアドレスのマッピングを定 義し、外から内へ何を通すか設定する。MIP はIPアドレスでの1対1のマッピングであ る。VIP はIPアドレスとポ−ト番号によるIPアドレスのマッピングである。たとえば 192.168.1.7:80 ヘ来たパケットは 192.168.2.3:80 へ、192.168.1.7:8080 ヘ来たパケッ トは 192.168.2.4:8080 へ。こういうパケットの振り分けができるのが VIP である。MIP と VIP どちらを用いるか。パケットを絞り込んで、より安全なのは VIP の方だが、どち らでもいいような気がする。マッピング先のホストのオブジェクトを定義しなくてもいい のは VIP と同様である。どこからのアクセスになるかについても VIP と同様である。 System -> [Interfaces] -> [Untrusted] -> [Mapped IP] 画面{Configure}の所 ----------------------------------------------------------- の[Mapped IP]である。 | Mapped IPs -- Untrust | | Mapped IP Table [New Entry] [Back] | ----------------------------------------------------------- | | Mapped IP | Netmask | Host IP | Configure | | |-------------|-----------------|-------------|-----------| | | 192.168.1.7 | 255.255.255.255 | 192.168.2.3 | In Use | | ----------------------------------------------------------- どうやってこの MIP の情報を消すのか。上の画面では消すメニュ−がない。 ポリシ−の MIP(192.168.1.7) エントリを消すと、{Configure} のとこが Edit,Remove になる。 ns50-> get mip Map IP Host IP NetMask Interface Attribute 192.168.1.7 192.168.2.3 255.255.255.255 untrust Network -> [Policy] -> [Incoming] __________ __________ _______ _________ / Incoming \_/ Outgoing \_/ ToDMZ \_/ FromDMZ \_____________________________ |  ̄ ̄ ̄ ̄ ̄ ̄  ̄ ̄ ̄ ̄  ̄ ̄ ̄ ̄ ̄ | | ----------------------------------------------------------------------- | | |ID| Source | Destination |Service|NAT|Action|Option| Configure | | | |--|--------|-------------|-------|---|------|------|-----------------| | | | 4| Outside| MIP | TELNET| 〆| 〆 | |→|Edit |Disable| | | | | Any |(192.168.1.7)| | | | |←|Remove| | | | ----------------------------------------------------------------------- | その後確認。NAT モ−ドは "on"(〆) にすること。でないと仮想IPアドレスにアクセス できなかった。最初テストした際は "off"(N/A) で機能したように思ったのだが、改めて テストしたらできなかった。その後またまた確認 "16-5. A-Gate SSL-VPN と次候補、(2) A-Gate とネットワ−クカメラ" で、HTTP 対象にして (N/A) でもできた。 (5) FireWall-1 の代替として設定する * 既存の FireWall-1 の代替設置の考え方 既存のネットワ−クに作った NetScreen のテスト環境である。 もう、下の図を見て何を すればいいか分かる人は分かるはずである。後は実際に FireWall-1 の代わりをするよう に、IPアドレスを NetScreen の設定で指定して行くだけである。 代替機としての設定 には、稼働している FireWall-1 のル−ル設定そのまま持ってくる必要はない。また、こ の際だからル−ルがごちゃごちゃしていたら、すっきりさせたいものである。だいたいざ くっとしたル−ル設定にしてもいいのでないか。例えばDNSのゾ−ン転送を、きちんと セカンダリのホスト指定までしなくてもいいとか。外向けの HTTP アクセスは、Proxy サ −バを必ず経由するとして、 NetScreen では 192.168.2.2 からの HTTP だけを通すよう に設定してしまうとかである。 | INDY 仮想IP 仮想IPのマッピングも考えること。 □ FireWall-1 □ □ 外に仮想的においたホストにWWW |.2 |.3 |.7 とDNSアクセス、それにメ−ルリ ------------------------------ 192.168.1.0 レ−として SMTP アクセスができれ | Untrust ばいい。MIP と VIP があるが、MIP | .9 □ でいいだろう。アクセスの向きは6 NAT ----------- .1 |.3 通りある。 FireWall-1 は3通りだ |NetScreen|------------ 192.168.4.0 ったが。6通りでも別にややこしい PC ----------- DMZ という訳ではない。それぞれにアク □ □ | .1 □ Proxy セスのル−ルを設定して行くだけの | | | Trust |.2 ことである。通すパケットをちゃっ ------------------------------ 192.168.2.0 と絵を描いてみればいい。 * DMZ ネットワ−クも含んだIPアドレス変換の動作 □ □ 仮想IP System -> [Interface] -> [Trusted]の画面 |Z |Y' で {Interface Mode} ●NAT を指示。 --------------------------- WAN | a □ NAT ----------- |Y System -> [Configure] -> [Route Table]を |NetScreen|--------- DMZ 見て、静的経路に DMZもあることを確認され □ ----------- b たい。 Trust、Untrust インタ−フェ−ス同 |X | c 様 Gateway IP 0.0.0.0 の Metric 0 ででき --------------------------- LAN ているはずである。 アクセスの向き | 実際に動作を調べてみました --------------------|----------------------------------------------- 内 -> 外 | Outgoing | NAT on(緑色〆)でも Off(水色〆)でも a から。 外 -> 内 | Incoming | 全アクセス不可。IP, VIP 設定したのは可能。 内 ->DMZ | To DMZ | NAT on(緑色〆)でも Off(N/A) でも b から。 DMZ-> 内 | From DMZ | NAT on(緑色〆)は c から。Off(N/A)は Y から。 外 ->DMZ | To DMZ | NAT on(緑色〆)は b から。off(N/A)は Z から。 DMZ-> 外 | From DMZ | NAT on(緑色〆)は a から。Off(水色〆)は Y から。 -------------------------------------------------------------------- ・X -> Y' へのパケット。Incoming で Y ホストを MIP か VIP で設定する。a からのア クセスとなる。あくまでも WAN セグメントに Y の仮想ホストがあるとすればいい。 ・DMZ->外 へは Outgoing の設定は関係しない。外->DMZ へは Incoming の設定は関係し ない。内->DMZ へは、Outgoing の設定は関係しない。多分 DMZ->内 も関係しない。 ・DMZ->外 への NAT Off の場合、ホスト Z で、DMZ セグメントへの静的ル−トを設定す ること。そうしないとパケットがホスト Y に戻って来れない。 -------------------------------------------------------------------------------- やっきになって、どこからのアクセスになるのか細かく調べてみた。しかし、別にどこか らのパケットかは、そう問題ではない。Mail-Relay と Mail-Store でも、 どこへメ−ル を送るか、それだけである。IPアドレスどこそこのホストからの SMTP パケットしか受 け付けない、そんなことはない。NetScreen の FireWall-1 の予備としての設定は、それ こそおおまかにやってみた。ただ DMZ 上のホストは WWW だけなので、そのオブジェクト だけ作って DMZ から、DMZ へは WWW だけへのアクセスとした。他、実際はCobalt Qube3 をWebメ−ルで仮想IPで外に出していたりもするのだが、細かな設定はやめた。いざ という時のためには、できるだけ設定とル−ルはシンプルにしておいた方がいい。もし一 発で代替機として動かなかった場合、手の出しようがなくなる。事前に実際のネットワ− クにあてはめて動作を確認すれば一番いいのだが。なかなか難しいことである。 -------------------------------------------------------------------------------- * 実際に FireWall-1 の代わりに動かした結果 `25/03 いやパケットの動きは重要だった。FireWall-1 のマシン、Ultra 10 のディスクが壊れて 初めて NetScreen を実際に稼働させた。FireWall-1 ではマシンで Proxy ARPや静的経路 の設定とかあるが、NetScreen は無しそのまま設置するだけ。結果メ−ルを出すのに問題 が起こった。FireWall-1 では Mail-Storeから Mail-Relay へは、あくまでもMail-Store からの発信である。 NetScreen では DMZ のインタ−フェ−スのIPアドレスからの発信 である。その違いが災いした。多分できるだろうは、実際の時に必ず問題になる。詳しく は Mail-Store で # /usr/ucb/Mail -v ikken@tcp-ip.or.jj とやって、Mail-Store から Mail-Relay へメ−ルを送ろうとすると跳ねられた。これは NetScreen の NATで、発信元 が 192.168.1.1 でなく 192.168.2.2 になるため起こったことである。多分 NetScreenの NAT をかける/かけないをインタ−フェ−スでなく、ポリシ−のところで個別に設定すれ ばいいのでないか。ポリシ−に NAT の項目が何であるのか、ずっと不思議だったが。 * ホストであるオブジェクトとグル−プの定義 ホストのオブジェクトを定義すると、フィルタリングのル−ル設定、つまりポリシ−の設 定のところで {Source},{Destination} でホストを指定できるようになる。つまり個々の ホスト、IPアドレスを指定できるということになる。またオブジェクトを集めたのがグ ル−プであり、グル−プを指定することもできる。 当初、Any でしか {Source} も {Destination} も指定できないのかと思った。SonicWALL なんかの安いファイアウォ−ルでさえIPアドレスで指示できるのに、今日デファクトの ファイアウォ−ルと言うべき NetScreen で、 できないというのは一体どういうことと思 った。これでだいぶ戸惑って時間を費やしてしまった。 Lists -> [Address] -> [Trusted] *** 日本語のコメントも入る *** _________ ___________ _____ / Trusted \_/ Untrusted \_/ DMZ \__________________ |  ̄ ̄ ̄ ̄ ̄ ̄  ̄ ̄ ̄ | ------------------------------------------------------------------ | | Group Name | Members | Comment | Configure | | |------------|-----------------|------------------|--------------| | | グル−プ1 | G2000 | けっこう | Edit | | ------------------------------------------------------------------ | ------------------------------------------------------------------ | | Name | IP/Domain Name | Comment | Configure | | |------------|-----------------|------------------|--------------| | | Inside Any | 0.0.0.0/0.0.0.0 | All Trusted Addr | -- | a) | |------------|-----------------|------------------|--------------| | | G2000 | 192.168.2.2/ | | Edit, Remove | | | | 255.255.255.0 | Katou no PC | | | ------------------------------------------------------------------ | | [New Address] [New Group] List [ 20 ▼] Per Page  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ 最初は a) のエントリしかない。 [Untrusted] と [DMZ] も最初は a) のようなエントリ しかない。[Trusted] 画面の [New Address] で "G2000" と言う名前のホストのオブジェ クトを作った。その次に [New Group] で "グル−プ1" というグル−プを作り、 メンバ −に "G2000" を入れた。これらは trust 側であるLAN側のル−ルで有効なものである。 * NetScreen の NAT 機能の再確認 `25/03 [ 先ずは一番の基本 ] □ P2 パソコン P2 では APC社のUPSの |.2 クライアントのソフトが動いている -------------------------------- 192.168.1.0 とする。http://127.0.0.1:3052/に | .1 P2 からアクセス。P2 のホストとし ----------- Untrust てアクセスできるかの確認に利用。 |NetScreen| ----------- Trust □ P1 [Interface]->[Trusted] でNATのみ。 | .1 |.2 以下の状態もこの設定は同じく。 -------------------------------- 192.168.2.0 P1 から P2 へ ping、P2 では 192.168.1.1 から。 P1 から P2 へ http://192.168.1.2:3052、P2 では 192.168.1.1 から。 [ 次の状態はこれ ] -------------------------------- 192.168.1.0 [Policy]->[From DMZ] は設定なし。 | .1 □ P2 ------- .1 |.2 | |-------------------- 192.168.3.0 ------- □ P1 | .1 |.2 -------------------------------- 192.168.2.0 [Policy]->[To DMZ] に Inside Any, DMZ Any, N/A で。P2 では 192.168.3.1 から。 [Policy]->[To DMZ] に Inside Any, DMZ Any, NAT で。P2 では 192.168.3.1 から。 [ そして MIP では ] □ P3 □ MIP (P2の仮想IP) |.3 |.4 --------------------------------- 192.168.1.0 | .1 □ P2 ------- .1 |.2 | |--------------- 192.168.3.0 □ P1 ------- |.2 | .1 --------------------------------- 192.168.2.0 [Policy]->[Incoming] で Outside Any, MIP(192.168.1.4), ANY, NAT で。 P1 から ping 192.168.1.4 とした。P2 では 192.168.3.1 から。 P3 から ping 192.168.1.4 とした。P2 では 192.168.3.1 から。 [Policy]->[Incoming] で Outside Any, MIP(192.168.1.4), ANY, N/A で。 P1 から ping 192.168.1.4 とした。P2 では 192.168.1.1 から。 P3 から ping 192.168.1.4 とした。P2 では 192.168.1.3 から。 [ そして VIP では ] □ P3 □ VIP (P2の仮想IP) [To DMZ] では Address には VIPの |.3 |.4 エントリは出てこなかった。 --------------------------------- 192.168.1.0 | .1 □ P2 [From DMZ] では VIP エントリは出 ------- .1 |.2 てきたが、入れても変化なかった。 | |--------------- 192.168.3.0 □ P1 ------- |.125 | .1 --------------------------------- 192.168.2.0 [Policy]->[Incoming] で Outside Any, VIP(192.168.1.4), ANY, NAT で。 P1 から http://192.168.1.4:3052 とした。P2 では 192.168.3.1 から。 P3 から telnet 192.168.1.4 3052 とした。P2 では 192.168.3.1 から。 [Policy]->[Incoming] で Outside Any, VIP(192.168.1.4), ANY, N/A で。 P1 から http://192.168.1.4:3052 とした。P2 では 192.168.1.1 から。 P3 から telnet 192.168.1.4 3052 とした。P2 では 192.168.1.3 から。 ------------------------------------------------------------------------------------ [ 付録 ] いろいろ ● 設定のセ−ブとロ−ドについて * フラッシュカ−ドがないとセ−ブ/ロ−ドは大変 | INDY tftp サ−バ NetScreen はネットワ−クから切り □ FireWall-1 □ /nix/temp/FIRE.cfg, 離してFireWall-1 と SonicWALL の |.2 |.3 /SONI.cfg 設定をする。それぞれのネットワ− -------------------------- 192.168.1.0 クを一時的に作り、 PC のブラウザ |.8 |.9 から設定する。そして FIRE.cfg と □ SonicWALL ■ NetScreen NetScreen SONI.cfgと言うファイル名で PC に |.1 |.1 ―→ ■ セ−ブして、 管理者用ホスト INDY --------------- -------- | にもコピ−する。普段はとりあえず 192.9.201.0 | |192.168.2.2 PC □ 左図の様なテスト環境で NetScreen □ □ クロスケ− を使っているとする。いざという時 192.9.202.0 | PC ブルで直結 は INDY から tftp で、それぞれの --------------- 設定ファイルをロ−ドする。 NetScreen に Apollo から RS-232C で入っている。Apollo はどこかにある。別にパソコ ンからでも構わない。パソコンだと操作のログを取れないので、ついつい Apollo を使う。 ns50-> save config ? << 設定をロ−ド/セ−ブする。 all-virtual-system all virtual system config from from source << ファイルをロ−ドする。 ha-master save master config << only valid in slave state。 to to destination << ファイルをセ−ブする。 ns50-> save config to ? flash save to flash << Compact Flash、96 or 516 MB。 slot1 save to pccard in slot1 << PCMCIA Flash、NetScreen-50 までに tftp save to tftp server はサポ−トされない。 コンパクト・フラッシュを抜き差しすると telnet 接続した状態で pccard power on. ま たは off. と出て来る。それで slot1 が有効かと思いきやそうではない。 以下のように して確認しようとしたが、セ−ブもロ−ドもされてないみたい。設定はまるで変わらない。 そもそもWWWでの設定画面では、コンパクト・フラッシュにセ−ブ/ロ−ドするという 画面がどこにも出て来ない。 ns50-> set clock timezone 0 I・O DATA の 128 MB をわざわざこのために ns50-> save config to flash append 買ったのだが。メ−カによってできないとか Save System Configuration ... Done あるのかな。NetScreen 腐り切っている。新 ns50-> save config from flash append しいバ−ジョンにすればできるとか、やめて。 * 設定を TFTP でセ−ブする ns50-> ping 192.168.1.3 << セ−ブ先を一応確認してみる。 Type escape sequence to abort Sending 5, 100-byte ICMP Echos to 192.168.1.3, timeout is 2 seconds !!!!! Success Rate is 100 percent (5/5), round-trip time min/avg/max=1/2/4 ms ディレクトリも入れること ↓ ns50-> save config to tftp 192.168.1.3 /nix/temp/NNN Read the current config. Save configurations (3178 bytes) to /nix/temp/NNN on TFTP server 192.168.1.3. !!!!!!!!!!!!!!!! tftp transferred records = 7 tftp success! TFTP Succeeded /etc/inetd.conf ファイル名 NNN としてセ−ブするように準備した。 ------------------------------------------------------------------ |tftp dgram udp wait guest /usr/etc/tftpd tftpd -s /nix/temp indy% cd /nix/temp; touch NNN; chmod +w NNN * 設定を TFTP でロ−ドする ns50-> save config from tftp 192.168.1.3 /nix/temp/NNN Load config from 192.168.1.3//nix/temp/NNN !!!!!!!!!!!!!!! tftp received octets = 3178 tftp success! TFTP Succeeded Save config ... Done これでリブ−トさせたいが。ns50-> reset コマンドでいいのかな。 いろいろ聞いてきて、 Self IP Address、TFTP IP Address というのが出てきて、 入れたこともないようなIP アドレスが出てきた。おかしいと思ってタイムアウトになるまでほかっておいた。設定は 変わってはいなかった。 indy% cd /nix/temp; ls -l -rw-r--r-- 1 root sys 3178 9月 15日 17時11分 MMM.cfg -rw-r--r-- 1 root sys 3095 9月 15日 17時04分 DOS.cfg -rw-rw-rw- 1 katou user 3178 9月 15日 16時08分 NNN << tftp でセ−ブ。 DOS.cfg は NetScreen を同じ設定状態のまま、 パソコンのブラウザでパソコンにセ−ブ して、DOS の ftp コマンドで INDY に転送したもの。tftp でセ−ブしたのとファイルの サイズが違う。MMM.cfg は転送する際に binary 指定したもの。 この MMM.cfg ファイル をロ−ドして、ちゃんとなるか確認のこと。OKでした。これらのファイル、エディタで も開くことができる。見ると ASCII テキストである。 ファイル・サイズが違うというの は改行コ−ドの違いだろう。多分 DOS.cfg でも、そのまま読み込んでも大丈夫だと思う。 ● NetScreen 最後のお勤めあり `2e/12 ■Intra1 △PA △PB 管理者用 管理者用の PB パソコン | 192.168.1.0 | .2------.1 | からhttp://192.168.1.1 --------------------------| L3 |---------- 192.168.3.0 へアクセスし NetScreen WAN側| .1 ------ の状態をみたり、時に設 -----------(Untrust) 定もやれるようにしてお 透過|NetScreen| きたい。残念、最後のお -----------(Trust) △P1 △P2 △P3 勤めは無かった。設置す LAN側| .1 | | | る場所の箱に収まらない ------------------------------------------ 192.168.1.0 とか幾つか問題があった。 WAN->LANヘは何でもOKとする。LAN->WAN へは P1,P2 は Intra1 へはアクセスOKとす る、P1,P2 からほかへは全部禁止。 Intra1 のIPアドレスへOKということでパケット は何でもOK。P1,P2 他の P3 などはどこへでもOKとする。P1,P2 は Windows XP など 古いパソコンで、専用ソフトが動いていたりして Windows 7 や新しい Windows OSに上 げることができない。そんな事情がある場合のこと。社内ネットにある特定のパソコンに ファイル転送だとかアクセスしたいという事情も残っているとする。P3 は Windows 7 な ど新しいパソコンであり、 同じセグメントに古いのと新しい Windows OSが混在してい る。あまりお勧めできたような状況ではないが、最低限の安全性対策を実施するというこ とである。古い Windows パソコンを一応隔離しましたということである。 P1 や PA から NetScreen に telnet で入って ping 打ってみる。経路設定は最初は何も 記載がない。これで NetScreen 自身に ping 打ったら "0 percent" と出た。(a) を記述 したら "100 percent" と出て、きちんと反応した。(a) の経路設定がなくても P1 や PA のパソコンから NetScreen の管理画面にはアクセスできるので、 (a) はなくても特に問 題はない。(b) の記述がないと PB には ping は行かないし、つまり PB から NetScreen にもアクセスできない。いや (a) は記述しない方がいい。NetScreen に PA だけ WAN ポ −トにつないだら NetScreen の画面にアクセスできなくなった、ping さえ NetScreenが 応答しなくなってしまった。(a) の設定でデフォルトゲ−トウェイを指定している、その デフォルトゲ−トウェイのIPアドレスがなくなったので、おかしくなったのでないか。 ns50-> ping 192.168.1.1 Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds Success Rate is 0 percent. ns50-> ping 192.168.1.1 Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds !!!!! Success Rate is 100 percent (5/5), round-trip time min/avg/max=3/3/3 ms [System]->[Configure]->[Route Table] _______ _______ ___ _____________ ___________ ____ ____________ /General\_/Authen.\_/DNS\_/URL Filtering\_/Route Table\_/DHCP\_/Software Key\ | ̄ ̄ ̄ ̄  ̄ ̄ ̄ ̄  ̄ ̄  ̄ ̄ ̄ ̄ ̄ ̄ ̄  ̄ ̄ ̄  ̄ ̄ ̄ ̄ ̄ ̄ ̄ | Static Route Table | ---------------------------------------------------------------------- | | Network Address | Netmask | Gateway IP | Metric | Confgiure | | |-----------------|-------------|-------------|--------|-------------| | | 192.168.1.0 |255.255.255.0| 192.168.1.2 | 1 | Edit,Remove | (a) | |-----------------|-------------|-------------|--------|-------------| | | 192.168.3.0 |255.255.255.0| 192.168.1.2 | 1 | Edit,Remove | (b) | ---------------------------------------------------------------------- | | [New Entry]  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ デフォルトル−トを設定しようとするとダメだった。インタ−フェ−スの設定は次のよう Network Address [0.0.0.0]、Netmask [0.0.0.0 ]、Gateway IP Address [192.168.1.2 ]、 Metric[1] で。 [System]->[Interface] _________ ___________ _____ / Trusted \_/ Untrusted \_/ DMZ \__________________ |  ̄ ̄ ̄ ̄ ̄ ̄  ̄ ̄ ̄ | ---------------------------------------------------------------------------- | | Name | IP |Netmask|Gateway| Managed IP |BW| Mode |Link|Configure| | |-------|-------|-------|-------|------------|--|-----------|----|---------| | | trust |0.0.0.0|0.0.0.0|0.0.0.0|192.168.1.1 | 0|Transparent| Up | Edit | | ---------------------------------------------------------------------------- _________ ___________ _____ / Trusted \_/ Untrusted \_/ DMZ \__________________ | ̄ ̄ ̄ ̄ ̄  ̄ ̄ ̄ | ---------------------------------------------------------------- | | Name | IP |Netmask|Gateway| Managed IP |BW|Link|Configure| | |-------|-------|-------|-------|------------|--|----|---------| | |untrust|0.0.0.0|0.0.0.0|0.0.0.0|192.168.1.1 | 0| Up | Edit | | ---------------------------------------------------------------- [Network]->[Policy]->[Incoming] __________ __________ _______ _________ / Incoming \_/ Outgoing \_/ ToDMZ \_/ FromDMZ \_________________________ |  ̄ ̄ ̄ ̄ ̄  ̄ ̄ ̄ ̄  ̄ ̄ ̄ ̄ ̄ | | -------------------------------------------------------------------- | | |ID|Source |Destination|Service|NAT|Action|Option| Configure | | | |--|-------|-----------|-------|---|------|------|-----------------| | | | 8|Outside| Inside | Any |N/A| 〆 | |→|Edit |Disable| | | | | Any | Any | | | | |←|Remove| | | | -------------------------------------------------------------------- | | | | [New Policy] List [ 20 ▼] Per Page |  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ [Network]->[Policy]->[Outgoing] __________ __________ _______ _________ / Incoming \_/ Outgoing \_/ ToDMZ \_/ FromDMZ \_________________________ | ̄ ̄ ̄ ̄ ̄  ̄ ̄ ̄ ̄  ̄ ̄ ̄ ̄ ̄ | | ------------------------------------------------------------------- | | |ID|Source|Destination|Service|NAT|Action|Option| Configure | | | |--|------|-----------|-------|---|------|------|-----------------| | | | 7|GroupX| Intra1 | ANY |N/A| 〆 | |→|Edit |Disable| | | | | | | | | | |←|Remove| | | | |--|------|-----------|-------|---|------|------|-----------------| | | | 6|GroupX| Outside | ANY |N/A| × | |→|Edit |Disable| | | | | | Any | | | | |←|Remove| | | | |--|------|-----------|-------|---|------|------|-----------------| | | | 3|Inside| Outside | ANY |N/A| 〆 | |→|Edit |Disable| | | | | Any | Any | | | | |←|Remove| | | | ------------------------------------------------------------------- | | | | [New Policy] List [ 20 ▼] Per Page |  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ [Address]->{Trusted} の所の {New Address } でパソコン P1,P2 のエントリを Trusted として作成する。{New Group} でも GroupX を作成する。GroupX の中に P1,P2 を入れて おく。Intra1 のエントリは Untrusted として {New Address } で作成すること。 ル−ルはデフォルトでは許可になっている。パソコンを1台だけ許可したつもりでル−ル を1つ作ったままでは、全て許可されることになる。他のは許可しないのであればル−ル の最後に禁止と明示しなければならない。 * NetScreen をよい子で使う 既存設置の FireWall-1 の直下に透過的に NetScreen を設置する。 これでファイアウォ −ルは二重化することになる。普段はこの状態で NetScreen を稼働させておく。 そして、 FireWall-1 のホストがおかしい、FireWall-1 のソフトがおかしいとなれば、この代替と して NetScreen を稼働させる。FireWall-1 のホストをネットワ−クから外し、代替でき るよう設定した制御ファイルを NetScreen に送り込む。 同様ホスト系ネットワ−クとの 間に置いている SonicWALL の代替としても、設定した制御ファイルを用意しておく。 こ れで NetScreen に3通りの使い方をさせるのである。 こんだけの設定をSI業者さんに 依頼したら一体、なんぼ取られるか。1つの設定が30万円で、3つで軽く見ても百万円 てところか。それでも、実際やってくれるのなら有難いと思わなければならないかも知れ ない。そんなややこしい設定は、嫌がるだろうな。こんなことは結局やりませんでした。