|
■Netscreen
・パスワードリカバリ
中古で購入した機器や、忘れた管理者パスワードをリカバリする方法。
@シリアルケーブルで接続します。
AUserとPassword共に本体裏面記載のs/n(シリアルナンバー)を入力します。
これで、初期化できます。設定もすべて初期化されるので、注意!
初期状態に戻ると、http://192.168.1.1でTRUSTポートからWEB管理画面がブラウズできます。
ユーザー:netscreen
パスワード:netscreen
でログインできるようになります。
・管理者用設定
SSH、Telnet、WEB管理画面等の設定
@管理用IPアドレスをEthernet1に設定
サービスIPとは別に下記のコマンドでIPを追加します。
ns25-> set int e1 manage-ip 192.168.1.254
AWEB管理画面とTELNET、SSHを有効にします。
ns25-> set int e1 manage web
ns25-> set int e1 manage telnet
ns25-> set int e1 manage ssh
※上記の3つのコマンドはNS25ではデフォルトでEthernet1にのみ有効になっています。
ns25-> get int e1 でデフォルトで有効になっている設定が確認できます。
Bリモート管理できるコンソールのIPを登録
LAN内の誰もがアクセスできるのは、セキュリティ上良くないので、下記のコマンドで管理端末のIPを設定。
ns25-> set admin manager-ip x.x.x.x(管理端末のIP)
・YahooBBで使える!基本的なネットワーク設定
ルーティング、NAT、DHCP。
@今回は、ポート1をTRUST、ポート3をUNTRUST、2と4は使用しない設定例です。
今回、NS25を使用しましたが、NS5シリーズでもTRUSTポートとUNTRUSTポートは変わりません。
Aネットワークは下記のようなイメージになります。
BZoneとインターフェースの確認
インターネット側、インターナル側のような、『側』=『ゾーン』です。
コンソールログイン(又はTELNET)して、下記のコマンドで、存在するゾーンを確認します。
ns25-> get zone
Total 14 zones created in vsys Root - 8 are policy configurable.
Total policy configurable zones for Root is 8.
------------------------------------------------------------------------
ID Name Type Attr VR Default-IF VSYS
0 Null Null Shared untrust-vr hidden Root
1 Untrust Sec(L3) Shared trust-vr ethernet3 Root
2 Trust Sec(L3) trust-vr ethernet1 Root
3 DMZ Sec(L3) trust-vr ethernet2 Root
4 Self Func trust-vr self Root
5 MGT Func trust-vr null Root
6 HA Func trust-vr null Root
10 Global Sec(L3) trust-vr null Root
11 V1-Untrust Sec(L2) Shared trust-vr v1-untrust Root
12 V1-Trust Sec(L2) Shared trust-vr v1-trust Root
13 V1-DMZ Sec(L2) Shared trust-vr v1-dmz Root
14 VLAN Func Shared trust-vr vlan1 Root
15 v1-Null Sec(L2) Shared trust-vr null Root
16 Untrust-Tun Tun trust-vr hidden.1 Root
------------------------------------------------------------------------
Default-IFのセクションを見てください、今回使用するether1とether3が存在すれば結構です。
TrustがEthernet1
UntrustがEthernet3
に割りあたっている状態になっていると思います。
CIPアドレスの設定
今回は、
Trust側を192.168.1.1
DHCPで192.168.1.0/24にIPをアサイン可能にする
例です。
Untrust側のIPはISPからグローバルIPをDHCPで割り当ててもらう設定にします。
TrustのIP設定
ns25-> set int e1 ip 192.168.1.1/24
DDHCPサーバの設定
ns25-> set int e1 dhcp server enable
EUntrust側、DHCPクライアント設定
ns25-> set int e3 dhcp client enable
※ここまで設定してケーブルをつなげば、一応通信できるようになりますが、
ポリシーやFireWallの設定をしていないので、長時間の結線はお勧めしません。
F通信テスト
・Trust側にPCをLAN接続しIPアドレスがDHCP取得できているか確認。
・下記のコマンドでUntrust側のグローバルIPが取得されているか確認。
s25-> get int
A - Active, I - Inactive, U - Up, D - Down, R - Ready
Interfaces in vsys Root:
Name IP Address Zone MAC VLAN State VSD
eth1 192.168.1.1/24 Trust 0010.db9x.xxxx - D -
eth2 0.0.0.0/0 DMZ 0010.db9x.xxxx - U -
eth3 x.x.x.x/x Untrust 0010.db9x.xxxx - D -
eth4 0.0.0.0/0 Null 0010.db9x.xxxx - U -
vlan1 0.0.0.0/0 VLAN 0010.db9x.xxxx 1 D -
null 0.0.0.0/0 Null 0000.5e0x.xxxx - U 0
x.x.x.x/xの部分にグローバルIPがアサインされていれば問題ありません。
・POLICY & FireWall機能
ポリシーとFWの設定例
@TrustからUntrustの通信をすべて許可します。
ns25-> set pol from Trust to Untrust Any Any Any permit
A記述について
・
UntrustからTrustやその他の通信について記述されていないものはすべて破棄されます。
・複数ポリシーがある場合は、IDごとに優先されます。
優先させたいポリシーを記述するときは、 set pol top ・・・とすると、最上位にリストされます。
・記述しないポリシーは破棄されますが、ログを取得するためにあえて記述する事もあります。
ns25-> set pol from Untrust to Trust Any Any Any deny log count
BFirewall機能を設定します。
これは、WEB管理画面から必要なものを選択していった方が間違えないので、今回の例ではWEB管理画面で必要なFirewall機能を下記のように選択していきます。
※本来、業務で使用する設定はこんなに単純ではありません。
|