NetScreen 5GTを買った
自宅サーバを公開するなら要るよなぁ、と思ってついに買っちゃいましたよ。NetScreen 5GTを。
ScreenOS のマニュアルをダウンロードできるのはいけど、1800ページを超えるマニュアルってどうよ?(汗
頑張って読まないとなぁ。。。
で、早速いろいろ失敗したので、覚え書き。
●DNSサーバの指定
Trust(LAN)に繋いだPCのWebブラウザから、Googleを表示しようとしてもできない。ふと思って、GoogleのIPアドレスを直打ちしてみたら表示された
どうかんがえても、DNSに失敗している。解決するためにNetScreenにDNSしてもらう。(というか、DNSプロキシを有効にする)
1.メニューから Network -> DNS -> Proxy を開く。
2.「Enable Proxy DNS Server」をONにする。
3.以下を指定。
DomainName:*
OutgoingInterface:untrust
Primary DNS Server:[プロバイダが指定するDNSサーバ]
ちなみに、メニューから Network -> DNS -> Host を開くと、プロバイダから付与されたDNSサーバがわかるので、そのIPアドレスをコピー&ペーストすればOK。
●DDNSの指定
www.dyndns.com を使用する場合。
Telnetで接続して、以下のコマンドを実行する。
※ユーザ名、パスワード、ホスト名は、www.dyndns.comで登録した値
> set dns ddns
> set dns ddns id 1 server-type dyndns clear-text
> set dns ddns id 1 username [ユーザ名] password [パスワード]
> set dns ddns id 1 src-interface untrust host-name [ホスト名]
> set dns ddns enable
ちなみに、DDNSの状況確認は以下のコマンドでできる。
> get dns ddns id 1
●ポートの開放
例えば、192.168.0.2 のローカルIPアドレスを付与しているパソコンでWebサービス(ポート80)を公開しているとして、NetScreenのuntrust(WAN)に来た接続要求を転送するように設定する場合。
1.メニューから Network -> Interface を開く。
2.「untrust」の「Edit」をクリック。
3.「VIP」をクリック。
4.「New VIP Service」をクリック。
5.以下を指定
Virtual IP:WANのIPアドレス(自動)
Virtual Port:80(外から接続するポート)
Map to Service:HTTP(LAN内PCに接続するポート)
Map to IP:192.168.0.2(LAN内PC)
これで、VIPの設定はOK。ちなみに、「Map to Service」の内容を追加したい場合は、メニューから Objects -> Services -> Custom で開く画面から追加できる。
VIPの設定が終ったら、次はPoliciesの設定。
1.メニューから Policies を開く。
2.Fromに「untrust」、Toに「trust」を選択して「New」をクリック。
3.「Destination Address」に「VIP(untrust)」を選択して「OK」
これで外部からポート 80 に接続すると、内部PC(192.168.0.2)のポート80に接続できます。
●よく使いそうなコマンド
IPアドレス等の情報を表示
> get interface
PPPoE接続
> exec pppoe connect
PPPoE切断
> exec pppoe disconnect
PPPoE状態表示
> get pppoe
追記:リンク先のURLが変わっていたようでリンク切れしてました。似たページを見つけて再リンクしました。
ScreenOS のマニュアルをダウンロードできるのはいけど、1800ページを超えるマニュアルってどうよ?(汗
頑張って読まないとなぁ。。。
で、早速いろいろ失敗したので、覚え書き。
●DNSサーバの指定
Trust(LAN)に繋いだPCのWebブラウザから、Googleを表示しようとしてもできない。ふと思って、GoogleのIPアドレスを直打ちしてみたら表示された
どうかんがえても、DNSに失敗している。解決するためにNetScreenにDNSしてもらう。(というか、DNSプロキシを有効にする)
1.メニューから Network -> DNS -> Proxy を開く。
2.「Enable Proxy DNS Server」をONにする。
3.以下を指定。
DomainName:*
OutgoingInterface:untrust
Primary DNS Server:[プロバイダが指定するDNSサーバ]
ちなみに、メニューから Network -> DNS -> Host を開くと、プロバイダから付与されたDNSサーバがわかるので、そのIPアドレスをコピー&ペーストすればOK。
●DDNSの指定
www.dyndns.com を使用する場合。
Telnetで接続して、以下のコマンドを実行する。
※ユーザ名、パスワード、ホスト名は、www.dyndns.comで登録した値
> set dns ddns
> set dns ddns id 1 server-type dyndns clear-text
> set dns ddns id 1 username [ユーザ名] password [パスワード]
> set dns ddns id 1 src-interface untrust host-name [ホスト名]
> set dns ddns enable
ちなみに、DDNSの状況確認は以下のコマンドでできる。
> get dns ddns id 1
●ポートの開放
例えば、192.168.0.2 のローカルIPアドレスを付与しているパソコンでWebサービス(ポート80)を公開しているとして、NetScreenのuntrust(WAN)に来た接続要求を転送するように設定する場合。
1.メニューから Network -> Interface を開く。
2.「untrust」の「Edit」をクリック。
3.「VIP」をクリック。
4.「New VIP Service」をクリック。
5.以下を指定
Virtual IP:WANのIPアドレス(自動)
Virtual Port:80(外から接続するポート)
Map to Service:HTTP(LAN内PCに接続するポート)
Map to IP:192.168.0.2(LAN内PC)
これで、VIPの設定はOK。ちなみに、「Map to Service」の内容を追加したい場合は、メニューから Objects -> Services -> Custom で開く画面から追加できる。
VIPの設定が終ったら、次はPoliciesの設定。
1.メニューから Policies を開く。
2.Fromに「untrust」、Toに「trust」を選択して「New」をクリック。
3.「Destination Address」に「VIP(untrust)」を選択して「OK」
これで外部からポート 80 に接続すると、内部PC(192.168.0.2)のポート80に接続できます。
●よく使いそうなコマンド
IPアドレス等の情報を表示
> get interface
PPPoE接続
> exec pppoe connect
PPPoE切断
> exec pppoe disconnect
PPPoE状態表示
> get pppoe
追記:リンク先のURLが変わっていたようでリンク切れしてました。似たページを見つけて再リンクしました。
コメントの投稿
http://www.juniper.net/techpubs/software/screenos/screenos6.1.0/
あと、Juniperのナレッジに良さそうなページがあったので、そのURLも張っておきます。
http://kb.juniper.net/kb/documents/public/resolution_path/J_FW_VPN_Config_or_Trblsh.htm