室井の部屋
基本設定
最終更新:
momijimanjyu
-
view
インターフェイス設定(Duplex/Speed)
CLI
| {#set int trust phy full 100mb |
100MB/Fullの場合
管理IP設定
CLI
| #set admin manager-ip 192.168.1.0 255.255.255.0 |
WEBUI
| Configuration > Admin > Permitted IPs |
| addクリック |
Telnet/HTTP等での接続元の制御設定
この設定で登録されたセグメント/ホストのみがリモート管理できます。
デフォルトは0.0.0.0で制御されていません。
MIPのSouceIP変換
環境
機器:NS5GT
PC-A:192.168.1.100/24
NS-Trust-Int:192.168.1.1/24
NS-Untrust-Int:10.1.1.1/24
PC-B:10.1.1.100/24
NAT-IP:10.1.1.200
機器:NS5GT
PC-A:192.168.1.100/24
NS-Trust-Int:192.168.1.1/24
NS-Untrust-Int:10.1.1.1/24
PC-B:10.1.1.100/24
NAT-IP:10.1.1.200
PC-AからPC-Bへの通信の際にPC-AのScouceIP(192.168.1.100)をNAT-IP(10.1.1.200)に変換し通信する。
WEB-UIでの設定
①Untrust-IntへMIP設定
Network > Interfaces > Edit > MIP > Configuration
MIP設定
①Untrust-IntへMIP設定
Network > Interfaces > Edit > MIP > Configuration
MIP設定
| Mapped IP | 10.1.1.200 |
| Host IP | 192.168.1.100 |
②Policy設定
Trust→Untrust
Trust→Untrust
| Souce-IP | Dest-IP | service |
| any | any | any |
完了
上記からも解る通りUntrustのInterfaceを通る通信で、
MIP設定に該当するものは全て変換してくれる仕様のようです。
PolicyにMIPも指定する必要もない事にビックリです。
これは誤作動なのかSSG140でも同動作確認。
DNSプロキシ設定
環境
クライアントPCのDNSサーバを192.168.1.1(TrustInterface-IP)とし、
DNS-Proxyを利用し、グローバルDNS(1.1.1.1)へリレーする。
クライアントPCのDNSサーバを192.168.1.1(TrustInterface-IP)とし、
DNS-Proxyを利用し、グローバルDNS(1.1.1.1)へリレーする。
WEBUI
| Network > Interfaces (List) |
| Trust-InterfaceのEditクリック |
| DNS Proxyにチェック→OK |
| Network > DNS > Proxy |
| Initialize Proxy DNS Server,Enable Proxy DNS Serverにチェック→Apply |
| Newをクリックし下記入力 |
Domain Name:*
Outgoing Interface:Untrust
Primary DNS Server:1.1.1.1
Secondary DNS Server:2.2.2.2
Outgoing Interface:Untrust
Primary DNS Server:1.1.1.1
Secondary DNS Server:2.2.2.2
| OK |
DNS転送が楽でクライアントのDNS設定する際に覚えやすい
Domainごとに転送先DNSを指定出来るので遠隔地にあるDNSサーバの場合は無駄な通信を減らせる。
表示を1ページに
| #set console page 0 |
ログ取得時に使用
Ciscoのterminal length 0と同様の効果だが、Configに残る為、不要になったら削除が必要。
デバッグ取得
①機器にコンソール接続をし、以下のコマンドを実行する
| #set console dbuf |
| #clear db |
②以下のコマンドを実行して、デバッグログの取得を開始する
| #set ffilter src-ip x.x.x.x dst-ip y.y.y.y |
| #set ffilter src-ip y.y.y.y dst-ip x.x.x.x |
| #debug flow basic |
③事象発生通信を確認後「Esc」キーを押下してデバッグを停止し以下コマンド実施
| #get db st |
④ログ取得が終了したら、以下のコマンドを実行しデバッグを終了
| #clear db |
fillter設定をその後使わないのであれば↓
| #unset ffilter src-ip x.x.x.x dst-ip y.y.y.y |
| #unset ffilter src-ip y.y.y.y dst-ip x.x.x.x |
Policyのlogより詳細なパケット情報を確認出来る
ScreenOSダウングレード
ScreenOS(以下SOS)のダウングレードはダウングレード前SOSと
ダウングレードする予定のSOSのメジャーバージョンの相違によって手順が異なる
(メジャーバージョン:ScreenOS X.YのXの部分)
ダウングレードする予定のSOSのメジャーバージョンの相違によって手順が異なる
(メジャーバージョン:ScreenOS X.YのXの部分)
Case1-同一の場合
WEB-UI
Configuration > Update > ScreenOS/Keys
参照へOSファイル
[apply]クリック
WEB-UI
Configuration > Update > ScreenOS/Keys
参照へOSファイル
[apply]クリック
Case2-違う場合
| #save soft from tftp <TFTPサーバ IP アドレス> <OSファイル名> to flash |
software major version is not same, accept this firmware? y/[n] y
| #reset save no no |
上手くいかなければ、ここを参照↓
http://jscom.jp/support/products/juniper/screenos/kb/00020
http://jscom.jp/support/products/juniper/screenos/kb/00020
PolicyのLogのステータス(Reason)
基本は
| Creation | セッションが生成 |
| Close | セッションがクローズ |
| Traffic Denied | このPolicyでセッションが破棄 |
詳細は
| Close - TCP FIN | TCP FINパケットによってTCP接続が終了 |
| Close - TCP RST | TCP RSTパケットによってTCP接続が終了 |
| Close - RESP | PINGやDNSなどの特殊なセッションの応答受信でクローズ |
| Close - ICMP | ICMPエラーを受信 |
| Close - AGE OUT | 正常に接続がタイムアウト(UDP等の正常通信) |
| Close - ALG | ALGで強制的にクローズ(実際強制的にクローズしてても出たためしが無) |
| Close - NSRP | NSRPのsession closeメッセージを受信 |
| Close - AUTH | 認証の失敗によってクローズ |
| Close - IDP | IDPによってクローズ |
| Close - SYN PROXY FAIL | SYN PROXYの不具合によってクローズ |
| Close - SYN PROXY LIMIT | SYN PROXYセッションの上限に達したことでクローズ |
| Close - TENT2NORM CONV | 正常なセッションの交換における一時的な不具合でクローズ |
| Close - PARENT CLOSED | 「親」のクローズによってクローズ |
| Close - CLI | ユーザのCLIコマンドでクローズ |
| Close - OTHER | そのほかの理由 |
Policy整合性チェック
| #exec policy verify |
| Rulebase verified successfully |
重複するポリシーのチェックを行う
ALGカウンター表示
| #get alg プロトコル名 counters |
ALGによりドロップされているかどうかチェック
tcp-syncheck tcp-seqence制御について
set flow no-tcp-seq-check
unset flow tcp-syn-check
unset flow tcp-syn-check
初期設定ではどちらも有効になっているので上記コマンドで無効化
わけの解らない通信断があった場合は上記設定とALGを止めてみる
ポートNATの動き
インターフェースの構成
※全てポートモードNATです。
※全てポートモードNATです。
| Interface(mode) | Zone | Virttual Router |
| Ethernet1(nat) | Trust | (Trust-VR) |
| Ethernet2(nat) | DMZ | (Trust-VR) |
| Ethernet3(route) | Untrust | (Trust-VR) |
その際の動作としては次の通り。
通信状況とNATの動作
※NATはNAT-OK、routeはNAT-NG
通信状況とNATの動作
※NATはNAT-OK、routeはNAT-NG
| 方向 | 動作 |
| Trust→DMZ | NAT |
| Trust→Untrust | NAT |
| DMZ→Trust | route |
| DMZ→Untrust | route |
Zoneの組み合わせによってポートNATが利いたり利かなかったり。。
うんこちゃんです。ポートNATはあてにせず、ポリシーNATを使おう。
ICMP Traffic Log ポート番号
そもそもICMPにポート番号は存在しません。
ICMPのトラフィックにあるPort番号は以下の通り。
Souce-Port:ICMPシーケンス番号
Destination-Port:ICMP ID
◆参考URL◆
http://kb.juniper.net/KB5116
ICMPのトラフィックにあるPort番号は以下の通り。
Souce-Port:ICMPシーケンス番号
Destination-Port:ICMP ID
◆参考URL◆
http://kb.juniper.net/KB5116
紛らわしい。。
DHCPで配布している使用済・未使用のIPアドレス表示(CLI編)
- 使用済IP表示
| #get int bg0 dhcp server ip allocate |
- 未使用IP表示
| #get int bg0 dhcp server ip idle |
運用で役立つ
