Netscreen25でDMZ->Internetへの接続ができない理由と解決方法

2010/09/19 03:32

このQ&Aのポイント

Netscreen25でDMZからInternetへの接続ができない現象が発生しています。トラブルシューティングの方法や解決策についてアドバイスをいただきたいです。
自宅LANの構成でTrustZoneからはインターネットへの接続ができていますが、DMZからの接続ができない状況です。初心者のためトラブルシューティングが難しいですが、どのように対処すればよいでしょうか。
Netscreen25のDMZからInternetへの接続ができない問題が発生しています。詳細な設定や情報を提供することができますので、アドバイスを頂けると助かります。

Netscreen25 で DMZ->Internetへ接続できません

Netscreen25 で DMZ->Internetへ接続できません(長文)。下記のような構成で自宅LANを構築しているところです。 TrustZoneからInternetへの接続はできたのですが、DMZからInternetへの接続がどうしてもできません(外部IPへのPing不可、Web見れない)。この程度のトラブルシューティングもできない初心者ですが、アドバイス等頂ければ幸いです。 OKWave質問時の文字数制限のため、補足にてCONFIGも添付致します。【構成】 eth1@Netscreen25 === Catalyst2960 === 端末１(Windows7) ・(Trust:192.168.0.0/24) ・I/FはNATモード、192.168.0.1/24 eth2@Netscreen25 === Server(CentOS5.5) ・(DMZ:192.168.254.0/24) ・I/FはNATモード、192.168.254.1/24 eth3@Netscreen25 === 回線終端装置 === (Internet) ・(Untrust:PPPoE接続) ・I/FはRouteモード、IPはISPからグローバルIP自動割当＜Routing Entries＞ [untrust-vr] なし [trust-vr] * 192.168.0.0/24 0.0.0.0 ethernet1 C 0 Root * 110.165.139.70/32 0.0.0.0 ethernet3 C 0 Root 0.0.0.0/0 202.216.4.204 ethernet3 S 1 Root * 0.0.0.0/0 202.216.4.204 ethernet3 C 1 Root * 192.168.254.0/24 0.0.0.0 ethernet2 C 0 Root 192.168.254.0/24 192.168.254.1 ethernet2 S 1 Root 192.168.0.0/24 192.168.0.1 ethernet1 S 1 Root 【現状】 ※Policiesは一時的に全ての方向とプロトコルをPermitにしています。・PING疎通 ◎端末１-> Internet ◎端末１-> Server ◎Server -> eth2@Netscreen25(192.168.254.1) ◎Server -> eth3@Netscreen25(ISPから自動割当されたグローバルIP) ×Server -> Internet(例yahoo.co.jp) ◎Server -> 端末１・HTTP接続 ◎端末１-> Internet ◎端末１-> Server ×Server -> Internet 【症状】 DMZのI/F配下のServerから、Internetに接続することができません。ちなみに、Server側の設定に問題があるのか調べてみるために、ServerをTrustZoneのI/Fに接続したところ問題なくInternetに接続できました。【Netscreen25のCONFIG】 ※OKWave質問時の文字数制限のため、補足にてCONFIGも添付致します。 ※管理者バスワード等のNW設定意外の行は省かせていただきます。 ※Netscreen25のOSのバージョンは5.0.0r10d.0です。

orayama
お礼率92% (93/101)

ネットワーク
回答数1
ありがとう数2

みんなの回答 （1）
専門家の回答

質問者が選んだベストアンサー

ベストアンサー

Toshi0230
ベストアンサー率51% (836/1635)

2010/09/19 04:06 回答No.1

Netscreenはずいぶん前に触ったきりですが、DMZのI/FがNATモードになっているのがまずいんじゃ？このI/FでNATをかける理由がわかりませんし。

質問者

お礼 2010/09/19 04:37

早速の回答ありがとうございます。 eth2のRouteモードにしてみましたが、同様の結果になってしまいうまくいきませんでした・・・。

質問者

補足 2010/09/19 04:40

参考までにCONFIGの一部を補足させていただきます。【ZONE設定】 set zone "Trust" vrouter "trust-vr" set zone "Untrust" vrouter "trust-vr" set zone "DMZ" vrouter "trust-vr" set zone "VLAN" vrouter "trust-vr" set zone "Trust" tcp-rst set zone "Untrust" block unset zone "Untrust" tcp-rst set zone "MGT" block set zone "DMZ" tcp-rst set zone "VLAN" block set zone "VLAN" tcp-rst set zone "Untrust" screen tear-drop set zone "Untrust" screen syn-flood set zone "Untrust" screen ping-death set zone "Untrust" screen ip-filter-src set zone "Untrust" screen land set zone "V1-Untrust" screen tear-drop set zone "V1-Untrust" screen syn-flood set zone "V1-Untrust" screen ping-death set zone "V1-Untrust" screen ip-filter-src set zone "V1-Untrust" screen land 【I/F設定】 set interface "ethernet1" zone "Trust" set interface "ethernet2" zone "DMZ" set interface "ethernet3" zone "Untrust" unset interface vlan1 ip set interface ethernet1 ip 192.168.0.1/24 set interface ethernet1 nat set interface ethernet2 ip 192.168.254.1/24 set interface ethernet2 nat set interface ethernet3 ip ▲.▲.▲.▲/32 set interface ethernet3 route unset interface vlan1 bypass-others-ipsec unset interface vlan1 bypass-non-ip 【Policy設定】 set policy id 1 from "Trust" to "Untrust" "Any" "Any" "ANY" permit set policy id 2 from "Untrust" to "Trust" "Any" "Any" "ANY" deny log count set policy id 3 from "Trust" to "DMZ" "Any" "Any" "ANY" permit set policy id 4 from "DMZ" to "Trust" "Any" "Any" "ANY" deny log count set policy id 5 from "DMZ" to "Untrust" "Any" "Any" "ANY" permit set policy id 7 from "Untrust" to "DMZ" "Any" "Any" "ANY" deny log count set policy id 8 from "DMZ" to "Trust" "Any" "Any" "ANY" permit set policy id 9 from "Untrust" to "DMZ" "Any" "Any" "ANY" permit set policy id 10 from "Untrust" to "Trust" "Any" "Any" "ANY" permit 以上です。