２ちゃんねるスマホ用 ■掲示板に戻る■ 全部 1- 最新50

Netscreenユーザスレ r4.0

1 ：ScreenOS：2011/03/08(火) 21:14:47.29 ID:nekgC/EP.net: 無難なFWアプライアンス
いつの間にか、前スレ消えてるので、立てておくよ。

http://www.juniper.net/jp/jp/products-services/security/

その他代理店はｇｇｒｋｓ

過去スレ
Netscreenユーザスレ r3.0
http://hibari.2ch.net/test/read.cgi/network/1158592499/

Netscreenユーザスレ r2.0
http://pc8.2ch.net/test/read.cgi/network/1064890311/

Netscreenユーザスレ
http://pc.2ch.net/test/read.cgi/network/1026471990/
2 ：anonymous：2011/03/08(火) 23:11:36.48 ID:???.net: >>1
大義であった！
3 ：anonymous：2011/03/10(木) 15:52:41.09 ID:???.net: 気づいたら落ちてたねｗ
たまにはageないとだめだなやっぱ
4 ：anonymous：2011/03/10(木) 21:08:55.36 ID:???.net: そういえば落ちてたな。
すっかり忘れてた。
5 ：anonymous：2011/03/15(火) 13:42:29.32 ID:???.net: 5XTを透過モードで使っています
syslogをuntrust側のポートに出す事はできないんでしょうか？
よろしくお願いします
6 ：sage：2011/03/27(日) 14:49:47.55 ID:YvgyiypW.net: netscreen 5xt　5.3 r3 でファームアップをやらかしちゃったんだが、解決方法ないっけ？
7 ：anonymous@172.113.102.121.dy.bbexcite.jp：2011/03/27(日) 15:34:31.25 ID:???.net: >>6
自己レスですがtftpサーバ立ててCUIでやるとすんなりできた。
"TFTPサーバー Poor TFTP Server for WIN32"を使ったけど、特にトラブルなどもなく。
8 ：anonymous：2011/04/07(木) 08:50:15.24 ID:???.net: ちと教えて下さい

x.x.x.1～x.x.x.4のグローバルアドレスを持っているとして
x.x.x.1がUntrustの口のグローバルIPでNAT配下にぶら下げてる端末（192.168.1.0/24）のデフォゲとします。

またこのとき192.168.1.100～192.168.1.102迄のサーバ三台をそれぞれ
x.x.x.2 → 192.168.1.100
x.x.x.3 → 192.168.1.101
x.x.x.4 → 192.168.1.102
とMIPにします。

このとき各サーバの送信元IPをそれぞれに紐づけられているグローバ
ルIPにしたいのですが、それぞれのサーバのデフォルトルートをMIPの
グローバルIPにしてやれば良いのでしょうか？
9 ：anonymous：2011/04/07(木) 11:18:24.58 ID:???.net: >>8
サーバーごとにTrust to Untrustのポリシーつくって、Advancedの
NAT Source AddressにMIP指定してやってた気がする
違ったらごめんよ

あとローカルセグメントにいるサーバーのデフォルトゲートウェイに
グローバルIP設定したところで、セグメント違うんだから通信できない希ガス
10 ：anonymous：2011/04/07(木) 13:46:36.27 ID:???.net: >>9
レスありがとうございます。

それっぽいところを見たのですが
NATのSource Translation (DIP on)というところぐらいで
None (Use Egress Interface IP) しか選べませんでした。
（MIPを選ぶところはなかったです orz）

機種はNS25でファームウェアは5.4.0r16.0です。
11 ：anonymous@s98.ItokyoFL27.vectant.ne.jp：2011/04/07(木) 13:55:05.49 ID:???.net ?2BP(0): http://www.viva-netscreen.net/archives/cat_50031540.html
上みてやれば普通にできると思うよ？
12 ：anonymous：2011/04/07(木) 14:15:10.74 ID:???.net: >>11
！！

なんと…。
MIPが設定されたマシンから外へ通信するとソースは
該当するグローバルIPになるんですね！！

最初に試してから質問すれば良かったorz
机上で設計していて、デフォルトルートに通信が行くんだから
絶対にUntrustの口のIPになると思っていました。

お騒がせ致しました…。
13 ：anonymous：2011/04/07(木) 21:37:56.94 ID:???.net: インタフェースモードやDIPの有無によるのでは。
・・・楽しいFWになりそうだな。
14 ：anonymous：2011/04/08(金) 22:31:23.20 ID:???.net: 最近5.4系なんか触った記憶ないけど、untrustに入ってくる通信で、
そのインタフェースが持ってないセグメントをmIPにアサインできたっけ？
15 ：anonymous：2011/04/11(月) 15:36:16.14 ID:???.net: 今時JuniperのサイトからNetScreen-Remoteもダウンロードできるんだな。
ファームウェアは知ってたけどRemoteも落とせるの気づかんかった。
つってもVistaまででしか使えないけどね…。

結局Windows7の標準IPSecクライアントでNSってつながるの？
16 ：あ：2011/04/24(日) 21:36:13.56 ID:???.net: そんなもん使うな
17 ：anonymous：2011/04/27(水) 11:33:38.00 ID:???.net: >>15です

NetScreenとShrew Soft VPNでVPN接続できました
Windows7 64bitもOK

http://blog.livedoor.jp/nanashisoft/archives/52242485.html
http://kokoro.bf1.jp/blog/archives/1293
とかを参考に試行錯誤。

なんとかL2TP/IPSecでWindows標準クライアントと繋ごうと思ったけど結局うまくいかず
仮に出来てもXPとVista,7で挙動が違ったり、クライアントの設定がすごい面倒そうだったので微妙

暫くはこの組み合わせで運用しようと思います
18 ：anonymous：2011/04/27(水) 11:42:09.35 ID:???.net: 続き

一応Windows標準クライアントとの接続は公式資料がある。
http://kb.juniper.net/InfoCenter/index?page=content&id=KB8536

あとこことかを参考に
http://gyabooo.mydns.jp/blog/?p=9

して色々やったけど、フェーズ2までは確立するけどその後のL2TPでどうもクライアント側が拒否ってる感じ。
クライアント側の詳しいログが見つけられなくてそれ以上追えず。
それもXPの話で、Win7だとフェーズ1あたりでクライアント側が拒否ってコケる。

ので素直にVPNクライアント使ったほうがいいなぁという結論に…。

というグチでございました。
19 ：ｓ：2011/05/01(日) 11:17:40.25 ID:???.net: shrew softはおいらも使ってるよ
ただ複数同時接続はできてない
20 ：い：2011/05/02(月) 23:57:29.66 ID:???.net: 5xtなんだけどメモリー使用率が70%くらいまでいってる
ほかのセッションやCPU使用率は10%くらいなのに・・・

ログとらなきゃいいけどとんないとねぇ・・・・

ポリシー5つくらいすべてログとるようにしてる
21 ：a：2011/05/05(木) 23:49:51.04 ID:???.net: 5GT 500円でｶﾃｷﾀ
22 ：anonymous：2011/05/06(金) 08:18:36.05 ID:???.net: >>21
安いな、おいw
23 ：a：2011/05/06(金) 11:59:12.98 ID:???.net: >>22
ACアダプタなしだったけど、まずまずの掘り出し物でした。
サクッとファームアップしてコンフィグを見ていると↓のような仕様でしたけど、これってextendedです？
Sessions: 4064 sessions
Capacity: unlimited number of users
NSRP: Lite
VPN tunnels: 25 tunnels
Vsys: None
Vrouters: 3 virtual routers
Zones: 8 zones
VLANs: 10 vlans
Drp: Enable
Deep Inspection: Disable
Deep Inspection Database Expire Date: Disable
Signature pack: N/A
IDP: Disable
AV: Disable(0)
Anti-Spam: Disable(0)
Url Filtering: Disable
24 ：anonymous@zaq7a66f81d.zaq.ne.jp：2011/05/06(金) 16:30:01.24 ID:???.net: >>23
Sessionが4096でNSRPがLiteなのでExtentedモデル
として認識しているようなので間違いないはずです。
25 ：anonymous：2011/05/06(金) 22:01:28.88 ID:???.net: >>23
無制限ユーザで\500となｗ
いい買い物したねオメ
これにあやかってSSG5でいいから\5kくらいで転がってねーかなー

どうでもいいけど、6.2.0ｒ6でついた念願のtelnetだが、妙に遅くないかい？
26 ：anonymous：2011/05/09(月) 13:19:23.17 ID:???.net: IE9だとWebUIのメニューが出てこないのね
27 ：anonymous：2011/05/19(木) 19:46:29.64 ID:GmYWAy+H.net: SSG140の設定で困ってます
UnTrust,DMZ,Trustの構成です。
DMZはグローバルIPを直接割り当て、NATは行わずそのままルーティングします。
UnTrustは上位ルーターとの通信用セグメントです。UnTrust,DMZのI/FはRouteモードにしています。
更にポリシーでUnTrust→DMZの通信を全許可しています。

この状態でUnTrustの先に繋いだ端末から、DMZのI/F、DMZ内にいるサーバーにpingは通ります。
しかし実際に端末からサーバーにHTTP接続しようとしても接続できません。
DMZ内にいる他の端末からサーバーへはHTTP接続できます。
サーバーにtcpdumpを仕掛けたところ、pingのパケットは来ていますがHTTPのパケットは来ていませんでした。
UnTrust側からDMZ内のサーバーにHTTP接続するにはどうしたらいいのでしょうか…。

ちなみにNetScreen204に同じような設定をしたところ、そちらは意図通りに動きました。
もう私の手には負えません…。アドバイスをお願い致します。
28 ：あのにめあど：2011/05/19(木) 20:14:39.84 ID:???.net: >>27
とりあえず、いくつか確認してちょ。

①DMZ設置のサーバのFirewall(iptables)設定の確認。
②SSGのバージョンを教えて。
③PINGはSSGが代理応答している可能性があるからDMZ～サーバでICMP飛んでいるか確認。
④Untrust to DMZのルールでAny Any Dropのみでロギングしてパケット飛んでいるか確認。
⑤逆にDMZからUntrustは通信できるのか確認

①と③に関しては、正常との事だからScreenOSの不具合じゃないかな...と？
29 ：27：2011/05/20(金) 11:35:17.16 ID:???.net: >>28
ご回答ありがとうございます

①サーバー側のiptablesは特にかかっていませんでした。
②SSG140 HardwareVersion:1010, FirmwareVersion:6.2.0r8.0
③サーバーにtcpdumpを仕込みましたが、間違いなくICMPは出入りしています。HTTPはSYNパケットすら来ません。
④該当設定でポリシーログをとったところ、ICMPはきちんとTraffic Deniedとしてログに残りましたが、HTTPはログにすら出ませんでした。
⑤Untrust→DMZのポリシーを許可すればpingは通りましたが、HTTPはこちらも通らなかったです…。（ポリシーでソースNATかければ通りますが）

うーんやはりバグでしょうか…。
しかし普通に使われそうな構成で今更こんなバグがあるとも思えないわけですが…。
それとも自分のネットワークやSSGの理解が足りないのか。
30 ：27：2011/05/20(金) 12:06:35.63 ID:???.net: ああああああああああああああああああああああああああああ単純ミスだったorz
実験環境で端末とSSGの間に入ってる機器（存在を忘れてた）の設定ミスでパケット止めてました
疑ってごめんよ　＞SSG
大変お騒がせいたしました。
31 ：anon：2011/05/20(金) 16:03:04.55 ID:???.net: ワロタ。
頑張れ！
32 ：anonymous：2011/05/20(金) 17:05:54.83 ID:???.net: SSGの管理画面にVPN経由でログインできないのですが仕様でしょうか
ログイン画面は出るのですが、ID/PWを入力してもまたログイン画面に戻ってしまいます
33 ：あ：2011/05/20(金) 21:19:29.78 ID:???.net: 普通にできるよ
34 ：anonymous：2011/05/23(月) 19:08:39.53 ID:???.net: DIPでIPがアクセス毎に変わるのが原因でした
35 ：えｊ：2011/05/24(火) 11:59:55.97 ID:???.net: >>34
固定にすると複数台同時接続できなくね？
36 ：anonymous：2011/05/25(水) 19:38:36.90 ID:???.net: NATだし大丈夫じゃないかな
37 ：ああ：2011/05/28(土) 12:30:53.07 ID:???.net: あたいはできんかった
38 ：anonymous：2011/05/31(火) 20:03:23.11 ID:OE9LW3lb.net: ScreenOS6.1が乗っているSSG5を使っています。
MIPで設定した送信元IPが、untrustインターフェイスのIPにNATされてしまい困っています。
以下に状況を説明します。

プロバイダからグローバルIPとして
xxx.xxx.xxx.96/28
をもらいました。

またプロバイダ・SSG5間のネットワークとして
xxx.xxx.xxx.112/29
を、SSG5のuntrust側I/F用IPとして .113を指定されました。
（プロバイダのGWは .118）

trust側I/FはNATで 192.168.1.0/24 と設定し、
また xxx.xxx.xxx.97 をMIPで 192.168.1.11となるよう、
untrust側のI/F上に設定しました。

192.168.1.11にはウェブサーバとメールサーバを立てて、
untrust -> trust で Any -> MIP(xxx.xxx.xxx.97)
へHTTPとSMTPを許可しました。

また trust -> untrust で 192.168.1.0/24 ->Any
へSMTPも許可しました。

これでインターネット側からは
xxx.xxx.xxx.97
で 192.168.1.11のウェブサーバ・メールサーバへアクセスできることを確認できて喜びました。
39 ：38：2011/05/31(火) 20:05:41.76 ID:OE9LW3lb.net: 長くなってしまいましたがここから本題です。
試しに192.168.1.11から自分のプロバメールアドレスへメール送信したところ、
送信自体は成功して無事にメール受信できました。

ただtrust->untrustのSMTPポリシーのログを見ると、
Translated Source Addressとして xxx.xxx.xxx.113 に変換されていました。
untrustのI/Fではなく、MIPしたxxx.xxx.xxx.97 から送信されるように
するにはどうすればいいでしょうか？

MIPで指定している xxx.xxx.xxx.97 はドメインをとっているので、
このままだとそのドメインを騙っているスパムIPアドレスとして
.113がブラックリスト入りしてしまうのではと心配です。

試しに
trust -> untrust のポリシーで MIP(xxx.xxx.xxx.97) -> Any
へSMTP許可してみましたが、送信できずグローバルポリシーでdenyされていました。

けっこう困っています。。。お知恵かしてください。
40 ：名無しさん：2011/06/01(水) 09:02:20.04 ID:???.net: routeモードにして、ポリシー単位でNAT制御すればいいのでは?
41 ：38：2011/06/01(水) 19:46:18.47 ID:FsTLPiFH.net: >>40
ありがとうございます。
trust側I/Fをrouteにしてポリシーログを確認したところ、Translated Sourceが192.168.1.11とプライベートアドレスになっているためそのままClose-Age Outして外部へでることができません。
ポリシーでsrc natするためにDIPとしてx.x.x.97をuntrust側I/Fへ登録しようとしましたが、untrust側のネットワークであるx.x.x.112/29の外なので登録出来ませんでした。
そもそも.97はMIPで使用済みなので、DIPとして二重登録はできないようです。

何か壮大な勘違いしてそうなのでお知恵を貸してください。
42 ：40：2011/06/01(水) 23:00:58.93 ID:???.net: >>38
あらま、アテが外れてごめんなさい。

SourceでNATするのではなく、DestinationでNATしてみたらどうでしょうか。

該当するポリシーの NAT項目にある "Translate to IP"に xxx.xxx.xxx.97 とする事で
アウトバウンドのSrc IPはxxx.xxx.xxx.97になるはず。
43 ：40：2011/06/01(水) 23:11:16.63 ID:???.net: 書き込んでから気付いたけど、xxx.xxx.xxx.96/28を貰ってるのに
SSGのUntrust側がxxx.xxx.xxx.112/29ってどういう構成だろうコレ。
44 ：anonymous：2011/06/02(木) 08:29:34.58 ID:???.net: 上位ルーター接続で冗長構成にしたりするとルーティング用のセグメントとして/29とか振られるよ
ISP側、自前機器側双方でVRRP構成にするような場合はいっぱい使うしね
45 ：38：2011/06/02(木) 18:36:42.26 ID:???.net: >>42
何度もありがとうございます。ただ通信しようとする先が.97にNATされてしまいダメでした。
自分の整理のためも含めて、環境と問題、それに対してやってみたことをまとめます。
アドバイスいただけると助かります。けっこう焦ってきました。

>>44
おっしゃる通り冗長構成です。すごいですね。

●環境
□untrust側
network:x.x.x.112/29
I/FのIP:x.x.x.113

□trust側
network:192.168.1.0/24
I/FのIP:192.168.1.1
WEB/SMTPサーバhost IP:192.168.1.11

□その他
プロバイダからもらったGlobal IP:x.x.x.96/28

◆問題
設定:
・MIPでx.x.x.97 <-> 192.168.1.11
・Any -> MIPでhttp/smtpをpermitポリシー作成
・192.168.1.11 -> Any でhttp/smtpをpermitポリシー作成
・trustのI/FモードをNAT

結果
inbound,outboundとも疎通OK。
ただしoutbound時のsrc ipがuntrustのI/FのIP(.113)に変換されてしまう。
outboundでx.x.x.97がsrc ipとなるように設定したい。
46 ：38：2011/06/02(木) 18:44:49.56 ID:nSF7sK80.net: ■やったこと1
設定
・trustのI/Fモードをroute
・他の設定は同じ

結果
inboundは疎通OK。
outboundはsrc ipがローカルの192.168.1.11に変換されてしまい疎通NG。

■やったこと2
設定
・192.168.1.11 -> Anyのポリシーで、destinationをx.x.x.97にNAT設定
・他の設定はやったこと1と同じ

結果
inboundは疎通OK。
outboundはsrc ipがローカルの192.168.1.11に、
さらにdest ipがx.x.x.97になってしまい疎通NG。

■やったこと3
設定
・MIP削除
・Any -> x.x.x.97でhttp/smtpをpermitポリシー作成
　そのポリシー内でdestinationを192.168.1.11にNAT設定
・他の設定はやったこと1と同じ

結果
inboundは疎通NG
⇒Globalのdenyポリシーログに、疎通の試みが記録されていました
　なぜdenyされるのかわかりません。。。
outboundは相変わらず疎通NG
47 ：anonymous：2011/06/03(金) 14:53:23.02 ID:???.net: あんまちゃんと読んでないけど、要はセグメントの異なるIPで化かせばいいんだろ？

set interface ethernet*/* dip 4 ***.***.***.97 ***.***.***.97
set policy id *** from "Trust" to "Untrust" "Any" "Any" "ANY" nat src dip-id 4 permit log

DIPで単一のIPレンジ（言葉的に矛盾してるが）をUntrust側I./Fに振ってやれば、
Sourceはご所望の.97のアドレスで出て行く
あとは適切にMIPの設定しろ
48 ：38：2011/06/03(金) 19:23:32.25 ID:kkqYmJmo.net: >>47
ありがとうございます、すごくヒントになりました。

untrust側I/Fのeth0/0はx.x.x.112/29なのでそのままでは.97をDIPできませんでした。
ですのでeth0/0.1というSub I/Fをつくり、そこにx.x.x.96/28を割り当てたうえで、そのI/F上に.97をDIPしました。
ポリシーでtrust->untrustにDIPの.97をsrc natさせたら、おっしゃる通り.97で出ていきました！

ただ既にDIPで.97を使っているため、MIPとして.97を追加することができません。
（本文長すぎエラーになったので続きます。。。）
49 ：38：2011/06/03(金) 19:25:49.97 ID:kkqYmJmo.net: （続き）
MIPなしのまま以下のようにポリシー作成しても、
>>46のやったこと３で書いたようにGlobalポリシーでdenyされてしまいます。。。
set policy id * from "Untrust" to "Trust" "Any" "*.*.*.97/32" "ANY" nat dst ip 192.168.1.11

つまりoutboundはできるようになりましたが、今度はinboundがダメになりました。
長々とスレ汚しすみません。光が見えてきたのでもう少しつきあっていただけるとうれしいです。
50 ：anonymous@s61.87.247.220.fls.vectant.ne.jp：2011/06/04(土) 10:56:11.54 ID:???.net: 勘違いしてたらごめんなさい。

>48
Untrustインタフェースなら、サブインタフェース作らなくても、
インタフェース自身とは違うサブネットをDIPとして作れるはず。
DIP設定するときに「ext ip」という感じの設定が入ります。
http://kb.juniper.net/InfoCenter/index?page=content&id=KB5760
51 ：50：2011/06/04(土) 11:02:50.10 ID:???.net: 続きです。

>49
Globalポリシーに行ってると言う事は、通常のポリシーでマッチしてません。
(MIPが無いと言う前提で）。
ポリシーベースNATでは、宛先アドレス（"*.*.*.97/32" )が、
Trust側にルーティングされるようにウソルーティング設定が必要です。
（でないとポリシーにたどり着けません→ポリシーにマッチできません）
52 ：47：2011/06/04(土) 13:43:27.06 ID:???.net: 今スレをちょっと読み返してみた。こんな感じでいいのか？
アドレスは適当にしたので読み替えろ。自宅にSSGは無いから5GTな
面倒だからI/F表記は変えない

trust I/F:192.168.7.250/24
untrust I/F:172.16.0.113/29
対向I/F:172.16.0.118/29

set address "Trust" "Trust-Seg" 192.168.7.0 255.255.255.0
set address "Untrust" "ISP" 172.16.0.0 255.255.255.0
set interface untrust ext ip 172.16.0.98 255.255.255.248 dip 4 172.16.0.97 172.16.0.97
set interface "untrust" mip 10.0.0.97 host 192.168.7.250 netmask 255.255.255.255 vr "trust-vr"
set route 10.0.0.97/32 gateway 192.168.7.250
set policy id 100 from "Trust" to "Untrust" "Trust-Seg" "ISP" "ANY" nat src dip-id 4 permit log
set policy id 200 from "Untrust" to "Trust" "ISP" "MIP(10.0.0.97)" "ANY" permit log
53 ：47：2011/06/04(土) 13:46:36.86 ID:???.net: PID 100, from Trust to Untrust, src Trust-Seg, dst ISP, service ANY, action Permit

Date Time Duration Source IP Port Destination IP Port Service SessionID In Interface
Reason Protocol Xlated Src IP Port Xlated Dst IP Port ID PID Out Interface
2011-06-04 13:41:36 0:00:04 192.168.7.250 46800 172.16.0.113 1024 ICMP 2040 trust
Close - RESP 1 10.0.0.97 46800 172.16.0.113 1024

PID 200, from Untrust to Trust, src ISP, dst MIP(10.0.0.97), service ANY, action Permit
2011-06-04 13:42:38 0:00:04 172.16.0.118 1 10.0.0.97 97 ICMP 2040 untrust
Close - RESP 1 172.16.0.118 1 192.168.7.250 97
54 ：47：2011/06/04(土) 13:54:46.92 ID:???.net: うおお間違って対向のじゃなく自I/Fのログ晒してもうたｗ

ns-5gt-> get log tra
PID 100, from Trust to Untrust, src Trust-Seg, dst ISP, service ANY, action Permit
============================================================================================================
Date Time Duration Source IP Port Destination IP Port Service SessionID In Interface
Reason Protocol Xlated Src IP Port Xlated Dst IP Port ID PID Out Interface
============================================================================================================
2011-06-04 13:52:51 0:00:01 192.168.7.250 47800 172.16.0.118 1024 ICMP 2046 trust
Close - RESP 1 10.0.0.97 47800 172.16.0.118 1024
55 ：50：2011/06/04(土) 18:41:59.29 ID:???.net: どうもよくよく読んでいると、
＞46 の
「やったこと１」で、問題ないはずなんだよね。
MIP設定していれば、逆の通信はSrc-NATが自動的に行われるはず。。。
56 ：50：2011/06/04(土) 18:44:48.58 ID:???.net: （続き）

＞52
set policy id 100 でsrc dip-id 4 って設定されてるのに
ログでは10.0.0.97 にNATされてるから、
やっぱりMIPアドレスでSrc-NATされてますよね。

policy id 100 のSrc-NATをやめて
dipとルーティングを削除しても同じように動くと思うのですが
試してもらないでしょうかw
57 ：anonymous：2011/06/04(土) 19:36:32.20 ID:???.net: >>56
あーやっと言いたい事が分かった気がする（多分）。つーかMIP必要なくね？
面倒だからホストは立てんけど
set interface trust ip 192.168.7.250/24
set interface untrust ip 172.16.0.113/29
set address "Trust" "Globals" 172.16.0.96 255.255.255.248
set address "Trust" "Trust-Seg" 192.168.7.0 255.255.255.0
set address "Untrust" "ISP" 172.16.0.0 255.255.255.
set interface untrust ext ip 172.16.0.98 255.255.255.248 dip 4 172.16.0.97 172.16.0.97
set policy id 100 from "Trust" to "Untrust" "Trust-Seg" "ISP" "ANY" nat src dip-id 4 permit log
set policy id 200 from "Untrust" to "Trust" "ISP" "Globals" "ANY" nat dst ip 192.168.7.250 permit log
set route 172.16.0.96/29 gateway 192.168.7.250
58 ：anonymous：2011/06/04(土) 19:37:34.72 ID:???.net: ns-5gt-> get log tra
PID 100, from Trust to Untrust, src Trust-Seg, dst ISP, service ANY, action Permit
============================================================================================================
Date Time Duration Source IP Port Destination IP Port Service SessionID In Interface
Reason Protocol Xlated Src IP Port Xlated Dst IP Port ID PID Out Interface
============================================================================================================
2011-06-04 19:34:18 0:00:03 192.168.7.250 53000 172.16.0.118 1024 ICMP 2046 trust
Close - RESP 1 172.16.0.97 1059 172.16.0.118 1024
59 ：anonymous：2011/06/04(土) 19:38:36.31 ID:???.net: PID 200, from Untrust to Trust, src ISP, dst Globals, service ANY, action Permit
============================================================================================================
Date Time Duration Source IP Port Destination IP Port Service SessionID In Interface
Reason Protocol Xlated Src IP Port Xlated Dst IP Port ID PID Out Interface
============================================================================================================
2011-06-04 19:34:22 0:00:04 172.16.0.118 0 172.16.0.97 106 ICMP 2037 untrust
Close - RESP 1 172.16.0.118 0 192.168.7.250 106
60 ：50：2011/06/04(土) 19:51:58.60 ID:???.net: >57, 58

ありがとうございます。

>つーかMIP必要なくね？
自分が思うに、MIPでも、ポリシーベースNATでも、
どちらでも問題なく出来る。。。はずなのですが。
61 ：anonymous：2011/06/04(土) 19:57:55.33 ID:???.net: >>60
> 自分が思うに、MIPでも、ポリシーベースNATでも、
> どちらでも問題なく出来る。。。はずなのですが。

建前上はそうだが、双方向NATの場合、Juniperは「MIP使え」と公言してた気がする
ポリシーでsrc/dst-natを両側からやった場合、設定自体はできるが
想定した変換がうまく行われないようだ
まぁそういうのは自分でぶち当たってから考えてみてくれ
62 ：38：2011/06/06(月) 11:12:46.63 ID:2g+XC76r.net: >>50-61
お休みに試してまでもらって本当にありがとうございます。
お二方（？）のアドバイスを参考に自分なりに格闘し、ext ipのDIPとウソルーティング切ることができました。
set interface ethernet0/0 ip *.*.*.113/29
set interface ethernet0/0 route
set interface ethernet0/0 ext ip *.*.*.96 255.255.255.240 dip 4 *.*.*.97 *.*.*.97
set interface ethernet0/1 ip 192.168.1.1/24
set interface ethernet0/1 route
(続きます)
63 ：38：2011/06/06(月) 11:14:03.78 ID:???.net: set address "Trust" "192.168.1.11/32" 192.168.1.11 255.255.255.255
set policy id 44 from "Trust" to "Untrust" "192.168.1.11/32" "Any" "ANY" nat src dip-id 4 permit log
set policy id 46 from "Untrust" to "Trust" "Any" "*.*.*..97/32" "ANY" nat dst ip 192.168.1.11 permit log
set route 0.0.0.0/0 interface ethernet0/0 gateway *.*.*.118
set route *.*.*.97/32 interface ethernet0/1 gateway 192.168.1.0
（続きます)
64 ：38：2011/06/06(月) 11:15:14.88 ID:2g+XC76r.net: >>62-63のように設定し、inboundは疎通するようになりました。
ただ192.168.1.11のhostから*.*.*.113へpingで到達できなくなって（Globalのdenyログにも出ない）、outboundが疎通できません。
そこでuntrust->trustのポリシーをDIP無しの単純な
set policy id 44 from "Trust" to "Untrust" "192.168.1.11/32" "Any" "ANY" permit log
にしたところpingは通るようになりました。（ただsrc ipが192.168.1.11のままなので外部へは行けず）

あちら立てればこちらが立たずでほんと困ってます。。。長々とすみません。
65 ：38：2011/06/06(月) 19:50:41.74 ID:p3U4UjRg.net: >>64
すみません、DIP無しにしたらpingが通ったのはtrust->untrustのポリシーでした。
66 ：anon：2011/06/08(水) 23:08:12.31 ID:???.net: 長々と判りづらいから今困ってることを箇条下記で書いてほしい。
後、中途半端なConfig貼り付けられても間違った回答する元だから
Configマスキングして何処かにアップロードしてくれ。
67 ：38：2011/06/09(木) 21:48:12.91 ID:IfDCuzon.net: >>66
ありがとうございます。

困ってること：
　MIPしてるにもかかわらずSRC IPがルータのuntrust側I/FのIPにNATされてしまう
やりたいこと：
　MIPしているグローバルIPのまま、外に出ていってほしい

設定(SSG5/ScreenOS6.1)：
　untrust側ネットワーク：***.***.***.113/29
　untrust側I/FのIP： ***.***.***.114
　プロバイダからもらったグローバルIP： ***.***.***.96/28
　trust側ネットワーク：192.168.1.0/24
　trust側ホスト：192.168.1.11
　MIP： ***.***.***.97 <-> 192.168.1.11
　config：http://www.dotup.org/uploda/www.dotup.org1688582.txt
　冗長構成です。
68 ：67：2011/06/09(木) 21:54:12.98 ID:???.net: >>67
すいません、設定のuntrust側ネットワーク間違えました。。。正しくは以下のとおりです。

設定(SSG5/ScreenOS6.1)：
　untrust側ネットワーク：***.***.***.112/29
　untrust側I/FのIP： ***.***.***.114
　プロバイダからもらったグローバルIP： ***.***.***.96/28
　trust側ネットワーク：192.168.1.0/24
　trust側ホスト：192.168.1.11
　MIP： ***.***.***.97 <-> 192.168.1.11
　config：http://www.dotup.org/uploda/www.dotup.org1688582.txt
　冗長構成です。
69 ：anonymous：2011/06/09(木) 23:16:55.48 ID:???.net: いろんな意味で見てて頭の痛くなる内容だな
そもそも冗長構成の意味が解ってるのだろうか

まずその意味のないどころか害でしかないGlobalのポリシーをunsetしろ
話はそれからだ
それだけでsrc:***.***.***.97に変換されて出て行くだろ
70 ：67：2011/06/10(金) 00:24:10.51 ID:???.net: >>69
そんなconfig見ていただいてありがとうございます。
NSRPがdisabledなライセンスなので、必死でvrrp使って冗長構成してみたのです。
（もう1台untrustが.115なSSG5がいて、この設定でフェイルオーバーできたので安心してたんですが、やっぱりおかしいでしょうか）

アドバイスの通りGlobalのdenyポリシーunsetしてみましたが、相変わらずsrcが***.***.***.114にNATさえて出ていきます。。。
71 ：anon：2011/06/10(金) 06:21:14.07 ID:???.net: NSRP使えないライセンスなんて聞いたこと無いぞ。
72 ：67：2011/06/10(金) 10:24:30.68 ID:???.net: >>71
******-> get license-key
Sessions: 8064 sessions
Capacity: unlimited number of users
NSRP: Disable
...
という感じなのです。

それはともかく、untrsutのI/Fにsrc-natされてしまうのがほんとに不思議というか困ってます。
>>55さんの言うように、MIPすれば割り当てたグローバルIPでsrc-natされると思ってたのですが。。。
73 ：50：2011/06/10(金) 21:26:09.19 ID:???.net: もしかしたら、ですが。

> set interface "ethernet0/0:6" mip ***.***.***.97 host 192.168.1.11 netmask 255.255.255.255 vr "trust-vr"
MIPは、サブインタフェースのeth0/0:6 につくってますが、

> set route 0.0.0.0/0 interface ethernet0/0 gateway ***.***.***.118
目的のパケットのルーティング先はeth0/0 を向いてます。

このため、内→外のパケットは、LAN側のIF->eth0/0 になるので、
eth0:6 に作ったMIPにマッチしてないと判断されてるのではないでしょうか。
（eth0/0 と eth0/0:6 が同一セグメントなら、サブインタフェースではなく、
　secondary IP で設定してみることをオススメしてみます。
　尤も、あまりこういう使い方をした事が無いので直るのかは判らないです。）
74 ：50：2011/06/10(金) 21:30:30.20 ID:???.net: （続き）

とりあえず、シンプルに、サブインタフェースを使わない状態にして
NATがどうなるかチェックできますか？
あと、個人的感想ですが、InterfaceのNATモードはあまりオススメしません。
良くわからん事になりがちなので。。。

あとはバグの可能性。
75 ：ｄｄ：2011/06/13(月) 20:31:07.68 ID:???.net: 構成図がまったくわからん
76 ：anonymous：2011/06/16(木) 13:01:25.95 ID:???.net: SSG140とShrew Soft VPNでVPNを構築してみました
サーバーからVPN経由で端末（Shrew動作側）にダウンロードしてくるのは速くて70Mbpsくらい出るのですが、
アップロードが極端に遅くて(数Kbps程度)困っています。
仮組状態なので端末とSSG、SSGとサーバーはLANケーブルで直結しています。

何か心当たり等ありましたら教えて頂けますでしょうか…。
宜しくお願い致します。
77 ：ｌ：2011/06/17(金) 21:12:46.37 ID:???.net: 単純に回線の限界じゃないの
78 ：76：2011/06/18(土) 15:38:24.15 ID:???.net: LANケーブル直結なのでそれはないかと…

Wiresharkで見てみたところ、同じACKパケットが重複して届いているようです。
WinXP機にNetscreen-Remoteを入れてみたところそのような問題は発生しませんでした。
しかしWin7とかで使いたいのでShrewを使ってみたのですが…
普通にShrewで使えてる人いますか？
79 ：anonymous：2011/06/18(土) 20:21:33.63 ID:???.net: >>78
get eventかget log traffic policy <id> で何か出てないか見てみろ
80 ：an：2011/06/28(火) 02:47:24.05 ID:r0YKnM5c.net: 教えて下さい。SSG20を使用しております。
untrustからtrustへ15秒周期でSSH接続しているのですが、
特定の拠点Aからのみ1時間に1～2回程度、接続エラーとなります。
SSHのポートは22ではないものにしています。

・拠点A→SSG（SSHのみエラー、80は問題なし）
・拠点A→他のサーバ（問題なし）
・拠点B→SSG（問題なし）

接続エラーは拠点A内の複数のPCで発生します。
拠点AはFTTH、拠点BはADSLです。
SSGのSoftware Versionは 6.2.0r8-cu1.0。

このような状況なのですが、解決の手がかりはありますでしょうか。
get log traffic policyを見ても、問題となるような点は見当たりませんでした。
81 ：anonymous：2011/06/29(水) 06:17:34.17 ID:???.net: L2モードでNetScreen使ってます
PC群=====NetScreen=====ルーター
こんな感じです。

この状態でNetScreenから別拠点へのVPNは張れないのでしょうか。
PC群が別拠点のIPアドレス宛のパケットを発するとNetScreenがVPN処理してくれる事を期待しています。
設定はしてみたのですがNetScreenは反応せず…L2モードだとダメなのでしょうか…。

宜しくお願いします。
82 ：anonymous：2011/06/29(水) 06:27:14.26 ID:???.net: netscreen/ssgのL2モードではVPNは使えなかったはず
83 ：anonymous：2011/06/29(水) 23:43:58.60 ID:???.net: なるほど…orz
84 ：anonymous：2011/07/02(土) 10:46:53.03 ID:???.net: >>82
あれ？マニュアルにはL2モード時のVLAN1でVPNトラフィックの
終端が出来るような事書いてあるけど、VPN使えないん？

物は有るが、テストできる環境は無いんで、
誰か試してくれ。
85 ：Anonymous：2011/07/03(日) 00:31:43.43 ID:???.net: >>82

L2モードでもVPNは使えるはずです。

>>84

試さなくてもKBには出来ると書いてある。
http://kb.juniper.net/InfoCenter/index?page=content&id=KB5822
86 ：anonymous：2011/07/07(木) 11:33:33.85 ID:???.net: NetScreenとNetScreenRemoteでIPSec+XAuthによるダイヤルアップVPNの環境を構築しました。
会社から、VPN接続するユーザーのグループごとに事前共有鍵を変えたいと言われましたが、
私の認識だと仕組み上事前共有鍵は複数設定できないと思っています。
会社に技術的に無理ですと言いたいのですが、私の認識はあってますでしょうか。
宜しくお願い致します。
87 ：anony：2011/07/10(日) 13:51:29.55 ID:???.net: >>86
こういうことかな？
User1-A
User1-B
User1-C
User2-A
User2-B
User2-C

User1-XのPSK → User1-PSK
User2-XのPSK → User2-PSK

これならできるよ
88 ：anonymous：2011/07/13(水) 14:19:05.30 ID:FZLUbvfF.net: 質問：SSH、Webadminが接続できない

確実な再現性がないのですが、
5GTを使い続けていると、コンソール以外のコントロールが失われます。
HTTPSで利用できている状態でも、しばらくすると管理画面に接続できなくなり、
その状態ではSSHでの接続もできません。

パケットでスニファしても、ICMPは戻ってきますが、TCPのｓｙｎ/ackが戻ってきません。

再起動で元に戻りますが、しばらくすると接続ができなくなります。
復帰は見込めないようで再起動以外の対処法が今のところ見つけられません。

なにか情報がないでしょうか？
89 ：88：2011/07/13(水) 14:25:39.20 ID:???.net: バージョンは　5.4.0r6.0
です。
90 ：ano：2011/07/13(水) 23:34:54.90 ID:???.net: >>88
セグメントが違うなら、3wayのチェックあたり？
経路確認してみてはいかが？
あとは3wayのチェックはずすなり、経路を直すなりどうとでも

コンソールつなげられるってことは、同一セグメントの可能性が強いか
91 ：88：2011/07/14(木) 07:33:20.83 ID:???.net: >>90
レスありがとう。

5XTのほうで Syn Flood protection が有効になってた。
いったん設定をはずして様子を見てみる。

助かった(とおもう)
92 ：anonymous@i125-201-11-103.s05.a023.ap.plala.or.jp：2011/08/02(火) 10:47:33.66 ID:???.net: NetScreen5GTが投売りされていたので、自宅で勉強のために購入しました。
性能的に無駄な買い物をしちゃったのかなぁ…？っと、思いましたが、
ファイアウォールおよびIPSec/VPN機器として使用したいと考えております。

JuniperサイトからScreenOSをダウンロードしようと、シリアルとメルアドを登録して、
これからダウンロードや設定とかするのですが、ScreenOSの5.4系と6.2系では、何が大きく違うのでしょうか？

あと素人考えなので、玄人の方に教えて頂きたいのですが、
ファイアウォールとしてなら今あるルータの前に設置、IPSec/VPN機器としてなら今あるルータの後ろに設置すればいいのでしょうか？
93 ：ななし：2011/08/02(火) 11:30:42.00 ID:???.net: >>92
OSは最新にしとけばいいんじゃね。
ルータは不要。FWだけいれとけばいいかと。
94 ：我輩はぬこである：2011/08/02(火) 23:06:00.92 ID:???.net: >>92
勉強用なら性能どうでもいいでしょ
俺も\3,000-でうってたから2台かってきたよ
ns5gt.5.3.0hq1.0とかいう見たことないバージョンだったわ
95 ：anonymous：2011/08/03(水) 10:08:39.03 ID:???.net: >>92
5系と6系の一番の違いはIPv6への対応だとオモタ。
ってか、それ以外は
IPv6を使うなら6系、使わないなら5系でもOK。
元々5GTは5.4で打ち止めの予定だったのが、
IPv6への対応の為6系出したって話だったきがす。
96 ：230.93.30.125.dy.iij4u.or.jp：2011/08/04(木) 13:00:49.48 ID:???.net
97 ：長すぎる名前：2011/08/13(土) 20:27:50.48 ID:???.net: 5GT 6.2.0r11でも204 5.4.0r21でも、IPv6使って
VPN作ると再起動後にVPN設定だけ全部消えるんだよね・・・。

まぁ再起動なんて頻繁にするもんでもないので
実害なんだけど面倒くさい。
98 ：anonymous：2011/08/22(月) 00:07:37.58 ID:AfNwj0Zs.net: 旧機種の中古が安く投売されてるのをよく見る
法人ユーザーがよく手放してるのかな？
99 ：忍法帖【Lv=10,xxxPT】：2011/08/22(月) 06:51:08.26 ID:???.net: NS→SSGに乗り換えは前からあるけど、SRXや他製品に乗り換え時期だからねぇ。
100 ：anonymous：2011/08/24(水) 23:48:53.66 ID:gU/33qNK.net: SSG(Screen OS6.0)2台で冗長構成（NSRP）をとります。
この際、2台のSSGのWAN側をそれぞれ異なるISPに接続する構成は可能でしょうか？

それぞれWAN側のI/Fには別セグメントのアドレスが付きます。
また、SSG～WAN間にはL3SWはありません。

すいませんが可能な場合の設定手法等お知恵を拝借出来れば幸いです。
101 ：anonymous：2011/08/25(木) 21:46:56.57 ID:???.net: >>100
機器は対応してるけど、君が対応してないから
やめといたほうがいい

せめて第11部読んでからこような
102 ：anonymous@NWTfb-16p2-74.ppp11.odn.ad.jp：2011/08/26(金) 15:08:42.73 ID:???.net: untrustのif増やしてそれぞれにpppoe喋らせれば良いんじゃ無いですか？
103 ：anonymous@NWTfb-16p2-74.ppp11.odn.ad.jp：2011/08/26(金) 15:10:42.76 ID:???.net: あ、a/a…
104 ：anonymous：2011/09/05(月) 09:53:49.81 ID:???.net: オクで安く手に入れた中古、耳が邪魔だから外そうとしたが
ネジがゲロゲロに堅く締まっていて外せない。
片方は滑り止め使って残り一本までいったので逆に耳の方を回して解決。
もう一方は二本残ってしまいビスブレーカー使ってもダメ。
このために精密ドライバー3本潰して滑り止めとビスブレーカーで
結局高くついた。
105 ：anonymous：2011/09/20(火) 20:54:58.31 ID:???.net: 現在SSGのDMZ2とルータＢ(RTX1100)のLAN3が接続されているのですが、
SSGのルーティングの設定で質問があります。
1、SSGとRTX1100はそれぞれPPPoEの設定がされている。
2、現在SSGのtrust側はSSGのデフォルトルート(untrust)でインターネットに
抜けているのですが、事情がありRTX1100でインターネットに抜けて行く
設定にしたい。
3、かつ特定のグローバルIP（61.0.0.0.）だけはいままで通りSSGのuntrust側で通信がしたい。

構成
ssgのtrust側PC-A 192.168.0.0/24、DMZ3のアドレス172.16.0.1
rtx1100のlan3アドレス172.16.0.10

上記の２の場合は、あて先0.0.0.0でゲートウェイ172.16.0.10で
良さそうな気がするのですが、上記３の場合はあて先61.0.0.0でゲートウェイのアドレスはどのように設定すればよろしいのでしょうか？（gateweyは0.0.0.0でいいのかなぁ？）

宜しくお願い致します。
106 ：う：2011/09/20(火) 22:33:08.11 ID:???.net: 実機で確かめて
107 ：anonymous：2011/09/21(水) 12:07:46.26 ID:???.net: 105です。
失敗してrtx1100のVPN先と通信出来なくなったら困るので、質問しました。
宜しくお願い致します。
108 ：anonymous：2011/09/21(水) 13:26:46.92 ID:???.net: で、そんな状況なのにここの人間の言う事信じてチャレンジするのか？
109 ：anonymous：2011/09/21(水) 22:31:41.19 ID:???.net: >>105
こんな所で聞いてないでさっさと販売代理のサポートにメールでもしろ
110 ：う：2011/09/21(水) 23:08:33.46 ID:???.net: トンネルがなんで落ちるんですか？どこ心配してるのか書いて欲しい
111 ：う：2011/09/21(水) 23:15:39.03 ID:???.net: ssgの0.0.0.0をrtxのlan側にふったら良いんでは？で、60なんちゃらはuntrustとうせば。
112 ：あ：2011/09/22(木) 10:58:57.34 ID:???.net: >105
ルーティングはそれでいいけど、untrustからdmzへのポリシー設定忘れんなよ。
113 ：い：2011/11/04(金) 12:00:28.91 ID:???.net: >>26
これってIE側の設定でなんとかならないの？
114 ：anonymous：2011/11/04(金) 14:54:27.61 ID:???.net: >>113
何をやっても、ダメだったと思う。
解決策は、IE9以外を使うしか無いかと。

一応、6.3.0r9で、予告通り対応がされたから、
更新できるなら解決するが、
それ以外は諦めるしか・・・
115 ：anonymous：2011/11/15(火) 15:57:17.31 ID:???.net: なんかWindowsアップデートしたら遅くなった XP-IE8
他のブラウザだと問題ない
116 ：忍法帖【Lv=3,xxxP】：2011/11/15(火) 17:11:13.75 ID:1LcgGsFn.net: JUNOS機器を使ってる人いたら使用感おしえてください。

スレチかもだけどよろしくです。
117 ：anonymous：2011/11/15(火) 20:48:36.19 ID:???.net: >>116
重い
バグだらけ
118 ：忍法帖【Lv=40,xxxPT】：2011/11/15(火) 22:57:27.38 ID:???.net: 確かに、製品としてはマダマダだけど何でもできる装置だから個人的には好きだな。
119 ：anonymous：2011/11/16(水) 00:44:08.93 ID:???.net: EXってスイッチのくせに止めるのにシャットダウン操作が必要って本当？
120 ：忍法帖【Lv=40,xxxPT】：2011/11/16(水) 07:23:23.87 ID:???.net: True
121 ：忍法帖【Lv=4,xxxP】：2011/11/16(水) 15:20:27.16 ID:K7H6c5/f.net: >>117
レスありがとう。
xmlを使ってDBいじるように設定するイメージなんだけど、確かに普通に考えたら重そうな気がするな。

>>118
そんな風にも見えるよね。でも習得は楽じゃなさそう…。

とりあえずまだしばらくはSSGで提案かな…
122 ：anonymous：2011/11/16(水) 20:30:46.73 ID:???.net: >>119
男らしく、おもいっきりブートログにFreeBSDってでるからｗ
少しは隠そうぜとｗ
123 ：anonymous：2011/11/20(日) 19:13:22.12 ID:???.net: >>116
webUIが糞重い。
バグって設定出来ない所がある。
ポリシーが反映されないとか稀にある
124 ：anonymous：2011/11/20(日) 23:37:36.16 ID:???.net: >>123
WebUIとかバカじゃねーの
125 ：忍法帖【Lv=3,xxxP】：2011/11/21(月) 12:59:01.90 ID:ASUSKcXn.net: >>124
CLIに慣れるまでどれくらいかかった？
126 ：anonymous：2011/11/21(月) 12:59:21.09 ID:???.net: >>124
使用感を答えただけだが
127 ：anonymous：2011/11/22(火) 13:44:21.44 ID:???.net: これからずっと放置してたNS25をバージョンアップ

5.0.0r6 → 5.4.0r18

再起不能になったら骨ひろってくれよな
128 ：anonymous@k184164.ppp.asahi-net.or.jp：2011/11/22(火) 14:51:33.76 ID:???.net: tftpdくらいは用意しとけよｗ
129 ：anon：2011/11/23(水) 00:41:05.13 ID:???.net: チャレンジャーやな
130 ：anonymous：2011/11/25(金) 22:25:17.83 ID:???.net: じゅもんがちがいます
131 ：anonymous：2011/11/25(金) 22:44:22.78 ID:???.net: でんどん、でんどん、でんどん、でんどん、でーーーーんどん
132 ：anonymous：2011/11/26(土) 00:17:07.94 ID:???.net: うわああああああああああああああああああああああああああああorz
133 ：anonymous@FLA1Abq062.chb.mesh.ad.jp：2011/11/26(土) 08:51:12.43 ID:???.net: 野田は知っているのか…ＴＰＰに潜む“訴訟地獄”の阿鼻叫喚

「訴訟大国・米国相手にＩＳＤ条項を認めるのは狂気だ。賠償金をむしり取ったり、
自社が儲かるように制度を変えさせる手段として使うだろう。
加表明国で、米国に次ぐＧＤＰ２位の日本は最大の標的だ」

「エコカー減税のせいで米国産の車が売れない、国民皆保険制度のせいで
民間の保険商品が売れない－など。国の訴訟リスクは計り知れない」と指摘した。

ＴＰＰに詳しい京都大学大学院の中野剛志准教授はこう話した。

１１日の参院予算委員会で、ＩＳＤ条項を取り上げた自民党の佐藤ゆかり参院議員はこう解説する。
　「条約なので、ＩＳＤ条項が国内法よりも上位になる。国内の司法機関が関わる余地はなく、
仲裁機関で審査され、決定に不服があっても覆らない。一審で確定する。」

ごく一部、判明したＩＳＤ条項の例（佐藤ゆかり事務所調べ）
投資家国籍　　訴えられた国　　ビジネス　　　　　賠償
米国　　　　　　メキシコ　　　　　　廃棄物処理　　１６６９万ドル
米国　　　　　　カナダ　　　　　　　ガソリン　　　　　１３００万ドル
米国　　　　　　カナダ　　　　　　　廃棄物処理　　　３８６万ドル
米国　　　　　　カナダ　　　　　　　不明　　　　　　　１億３０００万ドル
米国　　　　　　カナダ　　　　　　　水　　　　　　　　　１０５億ドル
http://www.zakzak.co.jp/society/politics/images/20111118/plt1111181251005-p3.jpg

TPP中身知らない野田･枝野／ISD条項・国内法に優越する事も知らず
http://www.youtube.com/watch?v=v7QHGesP3tc&feature=related
134 ：忍法帖【Lv=2,xxxP】：2011/12/14(水) 16:57:49.06 ID:M9L6Szgu.net: やっぱバージョンアップとか業務影響ありすぎだお…
くじけそうだお…
135 ：anonymous：2011/12/24(土) 07:44:59.50 ID:5+FHrmTp.net: 旧バージョンのサポート期間切れるきりきりまで粘ればいいじゃん
で、サポート期間切れそうになれば、十分枯れてそうなバージョンにアップデート
136 ：忍法帖【Lv=2,xxxP】：2011/12/24(土) 08:59:20.55 ID:npHltMUl.net: >>135
その予定が前倒しになっちゃって(泣)
137 ：anonymous：2012/01/11(水) 09:18:28.85 ID:???.net: カドルト
138 ：anonymous：2012/01/12(木) 02:56:50.53 ID:???.net: ScreenOSのサポートっていつの間にか2013年迄になってたのね。
ちょっと前の予定だと2011年(これも確か延長しての話)だったと思ったが。
SRXへの移行が芳しくないのかね？
139 ：anonymous：2012/01/12(木) 06:41:24.51 ID:???.net: へ？SSGのサポートとScreenOSの最新版のサポートは続くだろ？
140 ：忍法帖【Lv=4,xxxP】：2012/01/12(木) 15:57:09.28 ID:jgn73Rh3.net: 公式だとscreenos6.3は2015までになってるな。

www.juniper.net/support/eol/screenos.html
141 ：anonymous：2012/01/12(木) 16:09:06.17 ID:???.net: 2015年過ぎた頃にはサポートされる新バージョンのScreenOSが出てるだろ。
現実問題ScreenOS使う機器のサポートをやめてユーザにSRXへの全面移行させるなんて無理。
142 ：anonymous@NWTfb-13p4-58.ppp11.odn.ad.jp：2012/01/12(木) 20:33:10.13 ID:???.net: SRXがポシャる事を皆望んでる。それともフォーティに乗り換える？
143 ：Anonymous：2012/01/14(土) 11:03:59.90 ID:???.net: Juniper的にはnetscreenの技術が欲しくて買収したようだし
ScreenOSよりJunos機器を売りたいのは分かるけどSRXは
相変わらず有料デバッグ状態だし、ScreenOSもJuniper社
に買収されてから完成度が落ちたと思う

そろそろ別のメーカーの製品に変更してるユーザーも多い
んじゃないかな？
144 ：anonymous@NWTfb-16p4-228.ppp11.odn.ad.jp：2012/01/14(土) 17:39:09.41 ID:???.net: そーゆーのパックンチョするパワー感がシスコにもジュニパーにもなくなってきたなーと感じるわ。w
145 ：anonymous：2012/01/16(月) 12:29:45.66 ID:f7Mv9sy1.net: そもそもファイアウォール専用機器をSRXにする必要性が意味不明
ファイアウォールならScreenOSのほうがはるかに使いやすい

SRXにするのは統合機とか、ルータに積むファイアウォールモジュールだけにして、
単体ファイアウォールはScreenOSのままやってくれ
146 ：忍法帖【Lv=2,xxxP】：2012/01/16(月) 15:59:04.26 ID:F2juEHTW.net: 同意
147 ：a：2012/01/16(月) 20:02:48.13 ID:???.net: しかし、ssgディスコンの噂絶えず～
148 ：anonymous@pd3895f.tkyoac00.ap.so-net.ne.jp：2012/01/21(土) 01:08:16.72 ID:3LUe7Tyi.net: netscreen-5GT extendedライセンスで、
ポートモードをextendedにして、3ゾーンで透過モードで運用したいんだが、
これって可能？

透過モードにする場合、インターフェイスにSecurity(L2)タイプの
ゾーンを割り当てないといけないんだが、extendedモードでは
set int eth1 zone V1-Trust
って設定ができないんだわ。

zoneに指定できるのがNullとTrustしか出てこない。

わかる人教えて。
ちなみに、バージョン5.4.0r17.0です。
149 ：sage：2012/01/21(土) 01:16:13.71 ID:3LUe7Tyi.net: 148です。自己解決しますた。
データシートに
Transparent mode only works in trust/untrust mode
って書いてあった。
つまんね。
150 ：anonymous@p3226-ipbfp504yamaguchi.yamaguchi.ocn.ne.jp：2012/01/26(木) 10:13:54.65 ID:vW/5QO0B.net: 1
151 ：anonymous：2012/01/27(金) 16:01:54.51 ID:usUD/Teb.net: さっさと強制SRX化は中止してScreenOS継続する宣言してくれ
ファイアウォールでSRXとか誰得だよ
152 ：anonymous：2012/01/27(金) 19:33:24.20 ID:???.net: 日商エレとジュニパーが合弁会社「ジェイネットワークイニシアティブ」を設立 - ニュース：ITpro
ttp://itpro.nikkeibp.co.jp/article/NEWS/20111207/376055/

去年のニュースだけど、代理店からしてみりゃこういう不義理めいた事もしてるから
マジで見切りつけられたりするかも知れんねｗ
153 ：anonymous：2012/01/30(月) 18:34:33.46 ID:???.net
154 ：あ：2012/01/30(月) 22:12:39.05 ID:???.net: だよねー。そもそもジュニパーって売れてるの？スイッチとか。エンタープライズでじゅのす使ってるとこあるの？どうせ学校の先生騙して他校との差別かとかで入れてるアホ大学ぐらいじゃないの？キャリアには沢山入っているのかな？
みたことないからワカンニャイ。w
155 ：anonymous@z167228.dynamic.ppp.asahi-net.or.jp：2012/01/31(火) 10:00:29.76 ID:???.net: たくさん売れてるのかっていうと売り上げ下方修正とかって
話もきいたりするから、微妙なのかもね。
うちはWeb屋だけど、導入してるよ。NetscreenもEXも。
たくさん値引いてくれたからだけど。
安定してうごいてるから導入して後悔とかも無い。

Ciscoのiosが個人的には得意だったけど、junosのほうが扱いやすい感じかな。
156 ：anonymous：2012/01/31(火) 11:44:58.68 ID:54kMH2FR.net: iosは使える人が多いっていうのが利点だな
junosは、ios使える人ならすこし勉強して慣れれば使えるようになるけど
157 ：anonymous@NWTfb-16p4-228.ppp11.odn.ad.jp：2012/01/31(火) 20:19:46.94 ID:???.net: シスコはマニュアルがクソ過ぎて本買わにゃいかんのが好かんわ。
158 ：anonymous@p8b904a.tokynt01.ap.so-net.ne.jp：2012/02/02(木) 02:57:42.72 ID:???.net: GUIダメすぎるwww
159 ：anonymous@113x38x85x220.ap113.ftth.ucom.ne.jp：2012/02/02(木) 13:09:48.79 ID:???.net: 「同じセグメントにいる機器同士を通信させない」のって、何ていう機能ですか？
Juniperスレで聞いたらできるらしいんだけど、機能名がわからず調べようがなくて。
160 ：ななし：2012/02/02(木) 15:11:14.28 ID:???.net: プライベートVLANとかのこと？
161 ：anonymous：2012/02/02(木) 22:07:51.25 ID:???.net: >>159
トランスペアレントモード
162 ：anonymous@SODfb-11p3-28.ppp11.odn.ad.jp：2012/02/03(金) 00:22:05.36 ID:???.net: SSL-VPNの勉強に２～３台欲しいのですが
中古でどれ買うのがおすすめなの？
163 ：159：2012/02/03(金) 08:43:24.85 ID:???.net: >>160-161
言われてみればトランスペアレントモードもたしかに…だけど、
今回やりたいのは、WANやDMZがある中でのLAN側同士の通信遮断なので
プライベートVLANでよさそうです。
ありがとうございました！
164 ：Anonymous：2012/02/03(金) 10:19:35.37 ID:wiWCidCI.net: >>162
クラスタ組むならexetendedライセンスがいるから自宅ではちょっとなぁ
165 ：anonymous：2012/02/03(金) 10:51:46.10 ID:???.net: すぐには正解を教えないのがここの流儀なのかｗ
166 ：anonymous：2012/02/03(金) 13:06:22.23 ID:???.net: まぁ正解が知りたきゃ代理店かサポートに聞けってこったな
167 ：忍法帖【Lv=40,xxxPT】：2012/02/03(金) 22:54:34.45 ID:???.net: >>162
SSL-VPNならSAかな
IPSEC-VPNならNS

SAはなかなか出回らないよ。
168 ：anonymous：2012/02/03(金) 23:00:14.49 ID:???.net: この前ヤフオクで珍しくSA700が出てたけど、
起動時のコンソール出力が化けててなんか怪しい代物だったわ。
169 ：忍法帖【Lv=40,xxxPT】：2012/02/04(土) 12:14:32.40 ID:???.net: SAはKey無いと只の箱だからなぁ
170 ：anonymous@123.230.224.141.eo.eaccess.ne.jp：2012/02/06(月) 19:33:33.89 ID:h9H7R/1I.net: http://www.nicovideo.jp/watch/sm16452889
これすんごい！
171 ：あ：2012/02/08(水) 22:29:32.48 ID:???.net: たいしてうれてないのかな。
172 ：anonymous：2012/03/10(土) 15:41:08.35 ID:xU3lQMR8.net: 強制SRX化中止してScreenOS継続宣言しろよ
173 ：anonymous@NWTfb-13p3-165.ppp11.odn.ad.jp：2012/03/10(土) 18:41:57.57 ID:???.net: >>172
それしかない。
174 ：anonymous@s530171.xgsspn.imtp.tachikawa.spmode.ne.jp：2012/03/14(水) 08:42:44.15 ID:???.net: SRX初めてさわったんだが、
起動遅すぎ
config保存遅すぎ
GUIの動作遅すぎ
commit時エラーで吐かれたコマンドまでいちいち消さないといけない?
なんなんすかこれ
175 ：anonymous@NWTfb-13p3-165.ppp11.odn.ad.jp：2012/03/14(水) 18:23:37.61 ID:???.net: srxでvpnはるとハングったりするから素晴らしい。リブートじゃないよ、だんまりだよ。natもくそだしな。w
176 ：anonymous：2012/03/16(金) 16:42:07.64 ID:???.net: かつてはFortiがダメダメでNetscreenがまともだったが、
このままSRX化強行すればFortiとNetscreenで評価が逆転しそう
177 ：anonymous@NWTfb-13p3-165.ppp11.odn.ad.jp：2012/03/16(金) 22:26:42.53 ID:???.net: utmって本当に効果あるの？ urlのブラックリストとスパムメール排除のが効果あるんじゃないのかな？
178 ：anonymous@s730080.xgsspn.imtp.tachikawa.spmode.ne.jp：2012/03/23(金) 08:50:58.72 ID:???.net: >>174
やつらは650とかまでひっくるめて
中小クラス扱いだから機能制限アリアリでも良いと思ってるんでしょ。
179 ：あ：2012/04/05(木) 22:57:14.23 ID:???.net: 最近のsrx死んでるネタの書き込みをどうぞ。
180 ：あ：2012/04/05(木) 22:57:39.62 ID:O4QiIoap.net: あげ
181 ：anonymous@y003245.ppp.asahi-net.or.jp：2012/04/14(土) 22:59:08.76 ID:???.net: screenOSとvyattaの相互接続ってできるの？
182 ：anonymous：2012/04/15(日) 02:10:29.04 ID:???.net: イミフ
183 ：anonymous：2012/04/17(火) 13:51:05.73 ID:???.net: ちょっと疑問に思ったので、知っている人がいたら教えてください。

ScreenOSでVIP設定をしたとき、例えば
virtual port：10022
service：SSH（22）

と設定した場合、VIP用のポリシーでは
・VIPに対するSSH（22）を許可する　⇒マニュアルに記載の設定例
だけど
・VIPに対する10022を許可する
でも動きますよね、たしか。じゃないと、送信元IP毎に開放するポート（10022,10023とか）を
分けられないし

どこかに記載があれば安心なんですが。。
184 ：anonymous：2012/04/17(火) 23:01:07.37 ID:???.net: >>183
マニュアル第一章のパケットフローシーケンス嫁
185 ：183：2012/04/18(水) 10:32:11.05 ID:???.net: >>184
レスありが㌧

マニュアル記述を見ると、ポリシー検索前にMIP/VIP処理を行いアドレス変換を
行う、ような動作になります。
ポートマッピングもVIP処理におけるアドレスマッピングと同時に行われるとすると
「VIPに対する10022を許可」は意味がないように思えます。
⇒ただ調べたところ既設のNetScreenでは10022をポリシーで指定しているものもありました。

ポリシーの宛先IPにはVIPアドレスを指定することから、ポリシー検索時にVIP設定
を参照していることは間違いないと思うのですが、パケットフローシーケンスの記述
からは読み取れず。

　Untrust⇒GlobalでVIP/Virtual Portでポリシー検索
　Global⇒Trustで実IP/Serviceでポリシー検索
とかだったら分かるのですが、読解力が足りない？
186 ：g：2012/04/18(水) 19:36:46.23 ID:???.net: なにこだわってんのかよくわかんねーけど、ポリシー2つ書いてログして並び替えてみればだいたいわかるんじゃね？
187 ：184：2012/04/19(木) 06:06:37.02 ID:???.net: >>185
時間ないからすぐ試せんけど、>>186のが簡易検証として手っ取り早いと思われ

get log policy [id] か get log traffic policy [id]　で
ポリシーにマッチしてるか分かるから、それで調べてみては
こだわるなら get dbuf stream でキャプチャ(負荷に注意)

mipのポリシーとかも、juniperが推奨しない書き方でも通ったりするから、
度重なるバージョンアップの中の仕様変更で生まれた
シンタックスシュガーみたいなもんだと自分は適当に思ってるよ
188 ：anonymous：2012/04/20(金) 22:43:56.32 ID:???.net: SRXとNS-5GTで１年以上IPSEC VPN貼ってるけど、まったく問題ない。
GUIはクソだが、CLIはScreenOSより気に入ってる＞Junos
189 ：183：2012/04/23(月) 12:59:08.89 ID:???.net: >>186 >>187
ありが㌧㌧　というかレス遅くなり申し訳ない

手元に実機がなかったので、自社内で利用しているNetScreen＆設定変更しても
ユーザ影響のないやつを探して試してみました
※トラフィックキャプチャまではできなかった

機器：NS-5GT
OS：5.3.0r5.0（古い・・）

Untrust to Trust
①Any→VIP 22 log
②Any→VIP 10022 log

並び替えても何しても②の方にしかログが吐き出されないという結果になりました
バージョン古いからか、マニュアルの間違いなのか、というところ

とりあえず結果報告＆改めてレスに感謝いたしまする
　　　　　　　　　　　　　　　　＆ごちゃごちゃと長文ばかりで失礼すますた
190 ：ns：2012/04/28(土) 09:48:55.73 ID:???.net: 5gt key

extended_key : 2ApwPcCBUBUpp7ITb2S5EKeHsOrnt4of2oeRKHR8aCXXukkAfJ
S4PjdXQSM5mrLqY+6ePgE0qsAaY25E6MkpEaDZpaok3zUk2SuB
HxV/
fe3Kh+bDgYqH39xlOfUpLSwXGlxgZrf1P8BZW0zKlQ7CnfmB2i
55ByT0jgVKW9MfcYbotfqYN/
4wOTvO2XTYpqCskqvMb8amVOLqw034WuOlX9SePr5bEy9MDtrQ
bqRzExV2f8VuWne1StXeVIUEMwkYBhZyeQ/lLNy0QPw6oLj/
x4LbBeP4azefPD5aUIUo1/
lKQseKywhwDwokSonFWB2TlziefS12847KPQS4ksbcZ5g==

つかえる？
191 ：ns：2012/04/28(土) 09:56:50.17 ID:???.net: di_db_key : 2FmTnDreN8cpOQHNyaIkbzfBeGdlxOExYDFu2s93yojZeaTGXW
cNFvt28egOOWE4dzthWnLyRsqM+5UPI/
BJSMdIvhQkHSmJJ5kou/pkRtmNykiAzD2jyIGbU/
IJ4rk6CGFGdZlM8jYQaZlcXTSAj9jgor8AUyrcAgSCo7iEr+WK
sJkOvU1id2vUq7s2dbQbLmtWh45wSbIoUQBMB/
D95dES0PqTs939YDXhMW7OCMJg9CN0QGmKVEoKdLvi6fMStAEA
GdElgwYZ+goGMIGykctjijTVjWekoeyMRVP9Zei3BLJpC3AcnL
9H+tfrWaszRLTh6zXBUaHcwSF7qFftWxA==
expire date: 2006/4/25

av_key : 2S5373Hktp+gD90W8QEIOXghTjs4XRprrRoEA6NO7AhQPycp9P
5LB57RDUU7X+aQBxHUDc4269h1dPddqo3CCvi/F3PNKxHOb/
8M/nAYlYKRC8iexNc4+vwSErCDxX8Ltec/
USIRQfzRO7xpp1efhq2TO9a8wq9xaJA/
GBx4087Np5y+mJg0LnbhsloxXTioQqgkVPNAdtlnVdUf1JhJCF
+MtyAbBlzDgFbFgF5sNlvjoylvSp1dbstUHiEAmfe0NsD4NuRy
w07Z+qayuxu8EjkJqKDRV9x51Lq37jcTG6GKQkkiIguQ+sGnfr
m+UW8Jfl8/18+BuQphEF+tR58+c0g==
expire date: 2006/4/25

extended_key : 2L6npbqeIrxNNwg4vXF2vu3j1M4MzU06TQsna2vPF8V9fLh+TS
9zeEbq4yBYLi/
7WWQ5KoHQhCk7amsIa8QFVlb+1MCXDeuhlaejozFq1dFxdQa7G
9/
eZQoFSFUSIlkQZXlTH6DHXRdw89Poy0z+R2EdYGX74ge5E3IQg
qwGOPp3fiCj3naPtmTmAZ5+RNtqyXRPpN6ldvxL5/LsxjT1X/
6Jw2ErnORVBepTSsIW0OcQg0zasCdft+Du/u/
zC6qCxUjMbeHJ16mOxLZ7LasawBtYFbT0B38GZQkLYi/
O9acCp7qWIhCRimvdzRSuLTwrYazJTrYlZ09Ss+qjQnSD/
nw==
192 ：anonymous：2012/04/28(土) 11:12:32.69 ID:???.net: >>190
試してないけど、こう言うのってシリアルナンバー依存なんじゃないの？
193 ：anonymous@NWTfb-16p3-30.ppp11.odn.ad.jp：2012/04/28(土) 11:58:27.79 ID:???.net: expiredateみて。
194 ：anonymous@vpn.commuture.net：2012/05/01(火) 21:26:40.02 ID:???.net: >>192

その通りやね
195 ：anonymous@191.23.30.125.dy.iij4u.or.jp：2012/05/02(水) 10:27:40.08 ID:TyH99KiZ.net: 5GT 5.4.0 r6.0

WebUIも、sshもだんだん繋がらなくなる現象。
調べたら、

unset zone Work screen limit-session source-ip-based
unset zone Work screen limit-session destination-ip-based

で調子がよくなる、って話を見つけたんだけど、
これやっても繋がらなくなる。

WebUIが死ぬのは仕方ないとしてもsshまで死んでまうのがなんだかなぁ。
ほかに対応ってあるんでしょうか。
コアな人教えて

ちなみに設定でscreen はすべてOFF
調子悪いので、Toggle Menuすら開かない。
196 ：anonymous：2012/05/02(水) 12:35:46.41 ID:???.net: とりあえずリビジョンかバージョン上げてみるとか。
もうハードが壊れてるんじゃないのとか。
5GTならver6も入るよ。
197 ：anonymous@154.16.30.125.dy.iij4u.or.jp：2012/05/02(水) 16:22:00.21 ID:???.net: >>196
レスありがと。
2台あるんだけど、2台ともってことでHWエラーとは思いたくないかなぁ。

ScreenOSは検討してみるだ。
198 ：忍法帖【Lv=40,xxxPT】：2012/05/03(木) 11:07:25.68 ID:???.net: 5.4で管理系のセッションが残ってしまうっていう不具合あったはず。
199 ：anonymous：2012/05/03(木) 11:35:34.09 ID:???.net: >>195
コンフィグや構成見てないから分からんけど、リリースノートくらい見とけ

ttp://www.juniper.net/techpubs/software/screenos/screenos5.4.0/rn_540r10.pdf

移行するなら6系のも見とけよ
200 ：anonymous@154.16.30.125.dy.iij4u.or.jp：2012/05/03(木) 11:41:33.16 ID:???.net: >>198
それは、
clear session all
でクリアすればよい話デスか？
201 ：anonymous@155.19.30.125.dy.iij4u.or.jp：2012/05/03(木) 12:58:19.19 ID:???.net: >>199
らじゃ
202 ：anonymous：2012/05/03(木) 13:09:40.13 ID:???.net: ぜんぜん関係ないけど、

5GTはものすごくヒットしたんだろうけどSSGは空振りだった？ような。
億での出品数だが、SSGは皆無だもんなぁ。
5XTや5GTは結構あるのに。
203 ：anonymous：2012/05/03(木) 13:53:33.84 ID:???.net: そりゃSSGはまだ現行商品でサポート対象機種なんだからオークションなんかに出るわけないだろ
204 ：anonymous：2012/05/03(木) 16:39:36.03 ID:???.net: >>203
XTやGTは、出てたよ
205 ：anonymous：2012/05/03(木) 20:28:05.21 ID:???.net: SSGはまだまだ企業で現役でつかえるからでしょ。
206 ：anonymous：2012/05/04(金) 06:27:44.36 ID:???.net: んなこた、ない。
5GTですら、SSGが出ていない頃も結構出品されてたよ。
企業がそろいもそろってきちんとサポート切れるまで使うわけないじゃん
207 ：anonymous：2012/05/04(金) 10:55:40.06 ID:???.net: そりゃリストラで支店統廃合が進んでた時期なら不要になる機器は多かったろ。
208 ：anonymous：2012/05/04(金) 12:19:37.98 ID:???.net: 企業だとリース契約が多いから、4,5年で入れ替えでしょ。
で、リースアップ品がottoとかに流れてくる。
209 ：anonymous：2012/05/04(金) 12:35:22.24 ID:???.net: 最近はリプレースしないで再リースで使い続けるパターンが増えてるんだわ
210 ：anonymous：2012/05/04(金) 13:17:53.69 ID:???.net: CiscoもCheckPointも使いづらいから、SSGばっかり入れてるわ。
211 ：anonymous：2012/05/04(金) 13:20:31.65 ID:???.net: >>209
それは、大嘘

買取のシェアがわからんけど、
再リース契約の割合はここ10年で極端に落ちてる
オフバランス処理している企業は絶対に買い取らないし。
212 ：anonymous：2012/05/09(水) 14:55:58.74 ID:???.net: 理由があるかどうかわからんけど、SSGは本当に出回らないね。
XTやGTの時は現役だろうが、そうでなかろうが、ある程度の玉は出てたのにね。
213 ：anonymous：2012/05/09(水) 16:42:17.25 ID:???.net: SSGあんまり売れてないんじゃね？
214 ：anonymous：2012/05/11(金) 07:58:18.43 ID:???.net: まあ、XTやGTの頃に比べればライバルメーカの機種も良いのが出てきてるからな。
215 ：anonymous@NWTfb-17p1-74.ppp11.odn.ad.jp：2012/05/11(金) 22:28:07.38 ID:???.net: ジュニパーになって腐ったんだよ
216 ：anonymous：2012/05/18(金) 17:31:53.56 ID:???.net: ここはSRX化前に逃げとかないといけないからな
217 ：anonymous：2012/05/26(土) 00:37:37.93 ID:???.net: レスの少なさからも見て取れる状況だよねぇ
ジュニパがんばれというか、
たそがれてんじゃねぇ？というか

売れてるみたいなレスもあるみたいだけど
どう見ても工作員。

ターゲットユーザを考えるに、
そこそこ売れてたらものすごくレスが多いスレになるはずだもんねぇ
218 ：anonymous：2012/05/26(土) 23:43:46.41 ID:???.net: 同じ機種にリプレースするのはってお客さんが多い
219 ：anonymous：2012/05/28(月) 08:06:15.68 ID:???.net: VIPのmulti-port って、
1つのserviceがマルチになるんじゃなくて、
VIP自体が複数ポートを扱えるようになるんだね。

知らなかった世。
220 ：anonymous：2012/06/02(土) 12:09:58.69 ID:???.net: SSG5でNAT越しにAD認証（ケルベロス認証）できなくて困ってます。

本番環境なんで簡単に設定変更できないのだけど、
解決できる方法はありますか？
ALGのMSRPCを有効にすればいけますかね？
221 ：anonymous：2012/06/02(土) 12:23:38.53 ID:???.net: >>220
時間がズレテルとかそんな問題なんじゃね？
ALGにする理由がわかんねぇ
222 ：220：2012/06/02(土) 23:04:58.68 ID:???.net: >>221

ttp://support.microsoft.com/kb/172227/ja

これが問題で通信が通らないのですが、SSGで
サポートされてますか？
223 ：anonymous：2012/06/03(日) 04:18:13.50 ID:???.net: >>222
SSGはしらん。

どちらかというと、こっちじゃね？
http://support.microsoft.com/kb/318071/ja
224 ：忍法帖【Lv=40,xxxPT】：2012/06/03(日) 11:18:53.50 ID:???.net: >>220
ある程度切り分けしてもらわないと、わかんないよ。
①ADへはSSGから認証飛んでるの？
②SSGにADからの戻りパケットが届いてる？
225 ：anonymous：2012/06/03(日) 21:19:59.88 ID:???.net: そもそも、だが、
MS-Kerberosは、Unixをターゲットにしてるから、NBTを通す必要がない「はず」
通す必要がある場合は、DCがNTの場合に限る「はず」

なのでalgは関係ない「はず」
226 ：anonymous：2012/06/15(金) 14:10:07.37 ID:???.net: 5GTで IPv6を通すには？
227 ：忍法帖【Lv=40,xxxPT】：2012/06/16(土) 08:46:52.49 ID:???.net: 出来ないと言いたいとこだけど、下記コンソール叩いて再起動すればv6走ると思う。

set envar ipv6=yes
228 ：anonymous：2012/06/16(土) 14:05:10.07 ID:???.net: >>227
だんけ
229 ：anonymous：2012/07/03(火) 11:08:01.11 ID:???.net: 復活？
230 ：anonymous：2012/07/04(水) 13:50:48.65 ID:???.net: engawa不安定だのう
231 ：anonymous：2012/07/11(水) 12:39:23.90 ID:???.net: うちは来春にSSG入れる予定だよ
232 ：anonymous：2012/07/13(金) 01:07:54.68 ID:???.net: ScreenOS6.4が出ない今、SSGという選択肢は企業にとって正解なのかね？
そのうちEoL発表されそう

Juniper的にはさっさとSRXに行きたいんだろうけど、Junosが糞すぎるから仕方なくScreenOSサポートしてる感があるね
233 ：anonymous：2012/07/13(金) 01:59:50.97 ID:???.net: 素人くさい意見ですまんが
SRXのconfigは縦長すぎて嫌になる。
234 ：anonymous@NWTfb-16p4-171.ppp11.odn.ad.jp：2012/07/14(土) 00:07:54.91 ID:???.net: srxをEoLにすべき。スクリーンOSどこかパクらないかな。
235 ：anonymous：2012/07/14(土) 05:26:52.72 ID:???.net: ネットスクリーン導入してる会社がみんな悩んでるところだろ＞SRX化

SRXにつきあうのか、それとも他社にいくのか、って感じで
236 ：anonymous：2012/07/17(火) 14:32:29.10 ID:???.net: テクノバンとかいう会社がssgのeolを発表してた気がする。
2016/06あたりだったような
237 ：anonymous：2012/07/17(火) 15:02:22.40 ID:???.net: EOL発表から5年間は保守やるんだろ？
238 ：a：2012/07/17(火) 23:57:26.58 ID:???.net: >>236
srcをplz！
239 ：anonymous：2012/07/26(木) 10:37:13.72 ID:???.net: サポート終了情報 ? ジェイズ・コミュニケーション株式会社
http://jscom.jp/support/products/juniper/screenos/eol

こことNOXによると2015/12/31にEOLだそうで
240 ：anonymous：2012/07/26(木) 13:12:52.26 ID:???.net: そこに掲載されているのは、あくまで現在リリースされているソフトウェアのEoLでしょ。
SSG自体がEoLになるかは別の話。
241 ：anonymous：2012/08/18(土) 05:38:00.58 ID:???.net
242 ：anonymous：2012/08/23(木) 22:18:37.21 ID:Zauecf7T.net: たのむからSRXをさっさとディスコンにして
ScreenOSに一本化してくれ
243 ：anoymous：2012/08/29(水) 00:42:33.24 ID:???.net: Netscreenいいね！（今更
244 ：anonymous：2012/08/29(水) 03:05:14.51 ID:???.net: >>239
*2……技術サポート終了 / すべてのサポート終了のいずれか、もしくは両方が延長されています

延長した結果がその日付だから
どうせまた延長されるだけ

ちなみにFW/UTMとしての出荷比率は依然としてSSG 8：SRX 2だってさ
この状況じゃビジネス的に考えてもSSGを打ち切れる訳がない
せめて4:6くらいでも逆転しないと
245 ：a：2012/08/29(水) 20:04:41.26 ID:???.net: >>244
逆転は無理。guiが死んでるsrxはssgに慣れ親しんだユーザーにとって苦痛以外の何物でもない。
246 ：anoymous：2012/08/29(水) 21:51:51.17 ID:???.net: なんでSSGやめたいのかね
247 ：anonymous：2012/08/29(水) 23:01:56.20 ID:???.net: Juniperに限った話じゃないけど買収した製品は
前の企業名や商品名を排除しようという動きは外資じゃ一般的だと思う。
NetscreenはSSGという名称に変えることはできたけど
ScreenOSを無くす目的でJunOSに移行したいという思いがあるのでしょう
248 ：anoymous：2012/08/31(金) 03:01:02.24 ID:???.net: 売れるもんをつくってりゃいいのにな
249 ：anonymous@i220-108-110-60.s02.a014.ap.plala.or.jp：2012/09/04(火) 03:07:17.09 ID:MEEioEpt.net: set flow tcp-syn-check strict　は入れといた方が良いのですか？
250 ：anonymous：2012/09/10(月) 20:32:15.81 ID:???.net: NetScreen204使ってます
TrustにあるサーバーをMIPを使って公開しようとしています。
UnTrust,Trustがあるネットワークで、UnTrustにMIP(Trust内のIP)を設定し、
ポリシー側でもUnTrust→Trustで該当通信を許可しました。
UnTrust側からその通信を試すと意図通りに動作します。
が、Trust内からMIPを設定したIPへ接続しようとしても繋がりません。
要はTrustからUnTrust側のアドレス叩く→NSが折り返す→Trustという動作を
してほしいのですがそうはなりません。
これを解決する方法はあるのでしょうか？
宜しくお願いします。
251 ：anynomous：2012/09/10(月) 21:05:30.61 ID:???.net: TCP 3way handshakeにおける各パケットの経路を考えたらわかることじゃない？
あとは当たり前のことながら異なるゾーン間の通信はルールが必要
252 ：250：2012/09/11(火) 11:56:16.37 ID:???.net: すみません。。。
FortiGateとかYAMAHAとかだとこんな感じで動いてくれるんですが
実際のところポリシーで止まってるわけではなくてマッピングが独立してしまってるようです
内部から公開サーバーにアクセスするにはMIPの設定を2重でしないといけないんですかね？
253 ：anonymous：2012/09/11(火) 14:25:13.75 ID:???.net: globalゾーン当てでいいような
254 ：anon：2012/09/12(水) 01:05:39.73 ID:???.net: >>252
いや、それでアクセス出来るよ
どこかに落ち度があるはず
255 ：anonymous：2012/09/12(水) 09:41:31.01 ID:???.net: グローバルIPアドレスをセカンダリIPに設定しちゃってるとか
256 ：250：2012/09/12(水) 11:08:48.14 ID:???.net: すみません落ち度ありましたorz
じつはDMZに該当のグローバルIPのネットワークを振ってしまっているので、
UnTrust→TrustのときはUnTrustに設定したMIPが効くのですが
Trustからの場合Trust→UnTrust→Trustとなってほしいところが
ルーティングテーブルでTrust→DMZと判断されてMIPが効いてない
感じっぽいです。

なんとかPBRとかソースベースルーティングあたりを使っていけないかと
思っているところです。

もうちょっと考えてみます。
すみませんでした。ありがとうございます。
257 ：anonymous：2012/09/12(水) 12:21:48.04 ID:???.net: MIPに使用するグローバルIPアドレス(/32)をUntrustにルーティングすれ
258 ：250：2012/09/12(水) 18:34:40.73 ID:???.net: >>257
！！
完璧です。それで行けました！
ありがとうございます！
259 ：anonymous：2012/09/14(金) 09:13:16.50 ID:???.net: 　
260 ：anonymous@58x80x124x76.ap58.ftth.ucom.ne.jp：2012/09/20(木) 16:20:51.71 ID:4uupibff.net: わかる人がいましたら教えて下さい

オフィスがSSG140で、VPNクライアントがWin7 + NCPの構成でVPN接続させようとすると
以下のメッセージがクライアントで表示され、接続ができません。

「VPN error VPN gateway not responding[waiting for Msg2]

他にわかっていることは

・数十人いるなかでこの状態となっているのは一人のみ
・NCPを起動したときから上記メッセージが表示されている
・クライアント側ではevo 3dのテザリングを使用していて、
evoから払い出されるIPが、VPN接続先と競合している
・テザリング中のクライアントはgoogleなどインターネット閲覧は可能
・その人は自宅からも接続できない
　(自宅LANのプライベートIPは未調査)
・SSG側ではエラーログなどがまったくない

接続できないのはIP競合が原因だと思っていますが、
その他にも何か知っている事があれば教えて頂けると・・・
261 ：anonymous：2012/09/23(日) 01:04:01.69 ID:???.net: エラーメッセージからするとSSG140からの応答がありませんってことだし
単純に到達していないと考えるべきだろうね。
要はクライアント側の問題

>・クライアント側ではevo 3dのテザリングを使用していて、
>evoから払い出されるIPが、VPN接続先と競合している
これが理解不能だったんだけど
evo 3d <-> クライアント間はプライベートIPネットワークでいいのかな？
SSG140 <-> internet <-> evo 3dでしょ？
普通SSG140はグローバルIPアドレスだろうし、競合するわけがないと思ってるんだけど
構成で何か認識違いがある？

私なら別回線(可能であれば他端末でつながることを確認できるもの)から
その端末を使ってつながるかどうか見るかな。
それでつながるならクライアント側のネットワークの問題って切り分けできるだろうし
262 ：anon：2012/09/23(日) 12:13:12.60 ID:???.net: 的外れかもしれないけど、Windos7は対応していないという話かも？
うちの環境ではWin7使えませんと案内してた気がする

>・数十人いるなかでこの状態となっているのは一人のみ
ということで他はWindows7で問題なく接続できてるのならごめん
263 ：260：2012/09/25(火) 01:00:11.80 ID:???.net: 260です。レスありがとうございます。�

>>261�
>SSG140 <-> internet <-> evo 3dでしょ？�
社内192.168.1.0 <-> SSG140 <-> Internet <-> evo3G <-> テザリング192.168.1.0 という構成で、�
プライベートネットワークが競合しているという意味です。�

>可能であれば他端末でつながることを確認できるもの�
そうですね。切り分けのためにも正常に繋がるデータカード的な物とかを使ってみてもらいます。�
あとこの人、元々つながっていたのに急に繋がらなくなったという事だったので、原因とかもうすこし掘り下げてみます。�

>>262�
>Windows7は対応していないという話かも？�
NCPセキュアクライアントというのがVPNクライアントなのですが、win7用でライセンス購入もしてるものなんですよね・・・�
他の人のWin7では正常に通信できることを確認しているので、WIN7が悪いわけではなさそうなのですが・・・という感じです。�
264 ：anonymous@y098055.dynamic.ppp.asahi-net.or.jp：2012/10/03(水) 22:24:23.99 ID:CSo58K2b.net: どうにも先に進めなくなってしまった為、教えてください。
SRX100(JUNOS 11.4R3.7)
論理IFを複数作りたいのですが、Taggingを有効にしないと作成が出来ません。
これってTagging使わずに他の回避方法で作成することはできませんか？
やりたい事としては、論理インターフェースでそれぞれにグローバルIPを持たせてVPNを張りたいと思っています。
タグVLANはWAN側の都合で使えません。
265 ：anonymous：2012/10/03(水) 22:58:15.24 ID:???.net: ルーティングポートが同じネットワークセグメントに複数あるってことに
なるから、異なる論理インタフェースが同じネットワークセグメントに
属するってのはムリなんじゃないかと。
同じ論理インタフェースに同一セグメントのIPを複数アサインすることは出来る。

ただその場合、security ike gateway内のexternal-interface で
その論理インタフェースを指定した場合に、どのIPアドレスから
IPSecパケットが出力されるかとか、
gateway毎にそのIPを指定できるのかは判らない。
266 ：264：2012/10/06(土) 11:45:59.48 ID:f1wh/IXF.net: >>265
レス遅くてすみません。
同一セグメントはチェックではじかれました。
追加IPアサインも、ご指摘の通りexternal-interfaceが
1つ目のIPで出て行っているみたいで、これもまたXでした。
コマンドからみてみたものの、gatewayの部分はソースIPを決め打ち出来るのもなさそうですね。。
267 ：anonymous：2012/11/07(水) 11:30:26.53 ID:???.net: UnTrustにグローバルIP(クラスC)、TrustにローカルIPでホストがぶら下がっている構成です。
外部にサーバーを公開するのにnetscreenでMIPをやろうとしているのですが、
MIPに名前をつけられなくて困ってるのですがどうしようもないんでしょうか…。
数百個あるMIPのポリシーをIPアドレスだけで管理するのはしんどいです。
何かいい方法ありますでしょうか？
268 ：anonymous：2012/11/07(水) 18:49:23.32 ID:???.net: ないんじゃね？
269 ：anoymous：2012/11/07(水) 19:32:25.19 ID:???.net: 台帳作って頑張れ
270 ：anonymous：2012/11/07(水) 20:07:29.26 ID:???.net: Policy based NATについて教えて下さい。

NetScreen25 5.4.0r13.0 で、外部にサーバを公開するのにInterface NATで
VIPを使ってます。グローバルアドレスは１個のみ。
公開するポート数が増えて来て、VIPに設定出来る上限に達したので、
Policy based NATに変更しようとしていますが、外部からの通信が出来なく
なりました。

設定は
ethernet1 Trust route
ethernet3 Untrust route

AddressListのTrustに、公開したマシンhogehogeのIPを登録
ServicesのCustomに、開けたいポート45000をfooで登録

VIPの設定を全て消して、ポリシーを

set policy id 100 from "Trust" to "Untrust" "Any" "Any" "ANY" nat src permit
set policy id 100
set policy id 200 from "Untrust" to "Trust" "Any" "hogehoge" "foo" permit
set policy id 200

id 100の設定で、内→外への通信は問題なし。外→内がＮＧでログを取ってみてもログにすら
乗らない状態です。

set policy id 200 from "Untrust" to "Trust" "Any" "hogehoge" "foo" nat dst ip xxx.xxx.xxx.xxx port 45000 permit
set policy id 2

としてみましたが、これも上手く行かず。Policy based NATは単にルール書く
だけだと思ってたのですが、何か足りないでしょうか？
271 ：anonymous：2012/11/07(水) 20:27:27.95 ID:???.net: set vip multi-port
272 ：270：2012/11/07(水) 22:51:32.30 ID:???.net: レスありがとうございます。

vip multi-portはVIPで運用していた時に設定したのがそのまま残ってました。
試しに消して見ましたが状況変わらずです。
273 ：anonymous：2012/11/08(木) 07:16:59.23 ID:???.net: ポリシーベースNATは、嘘ルーティングが必要。
この場合、hogehoge のIPが、Trust1の先にあるように見せかける必要がある。

set route x.x.x.x(hogehogeのIP)/32 interface ethernet1

こうすることで、外から入ってきたhogehoge宛のパケットが、
Untrust→Trustのゾーンの対象となって、その結果ポリシーにマッチして
NATされる。
274 ：267：2012/11/08(木) 16:44:27.14 ID:???.net: >>268 >>269
そうですよね…
ありがとうございました
275 ：270：2012/11/08(木) 20:04:08.40 ID:???.net: >>273
レスありがとうございます。
教えて戴いたようにルーティングの設定してみましたが、状況変わらずでした…。

ちなみに、各アドレスが、

ethernet3 Untrust プロバのグローバルアドレス
ethernet1 Trustが、192.168.0.1
hogehogeが、192.168.0.10

として

>この場合、hogehoge のIPが、Trust1の先にあるように見せかける必要がある。

との事ですが、hogehogeのIPとTrustのIPが同じネットワークアドレスだと嘘ルート
書いても書かなくても同じですよね？

試しに以下をやって見ましたが駄目でした。

hogehogeを、10.0.0.1
fooは45000で変更なし

set route 10.0.0.1/32 interface ethernet1
set policy id 200 from "Untrust" to "Trust" "Any" "hogehoge" "foo" nat dst ip 192.168.0.10 port 45000 permit

マニュアルのアドレス変換にあるNAT-DST 多対 1 のマッピングの考えで良いと思
うのですが…
276 ：273：2012/11/08(木) 21:03:37.33 ID:???.net: すみません、

>この場合、hogehoge のIPが、Trust1の先にあるように見せかける必要がある。
これは、hogehogeがグローバルIPという理解で書いてました。

具体的に言うと、
・送信元『1.1.1.1』
・送信先『2.2.2.2』←これが自分の持つグローバルIPとして
・プライベートIP『10.10.10.10』←このIPに変換したい

ということをポリシーベースNATで行おうとする場合、2.2.2.2/32
について嘘ルーティングを書いてあげる必要がある・・・・のですが、

これが出来るのって、ルーティング用（インタフェース用）の
グローバルIP以外のグローバルIPでないと出来ないですね。
グローバルIPがひとつだと、やったこと無いけど、
おそらくムリかと・・・ルーティング設定が入らないと思うし、
入ったら、余計に変なことになる気がします。
277 ：270：2012/11/09(金) 01:30:13.02 ID:???.net: >>273

ありがとうございます
なるほどそういう事でしたか。

しかしYAMAHAやCiscoでは出来るのにNetScreenで出来ないのは
悔しいなぁ(´・ω・`)
278 ：anonymous：2012/11/19(月) 11:44:43.26 ID:???.net: UnTrust : グローバルIP/30
DMZ : グローバルIP/25
Trust : ローカルIP

こんな構成でTrust->UnTrustはポリシーでSrc-NATかけています。
これで現在外に出て行くIPはUnTrustのI/FのIPになるのですが、
これをなんとかDMZのI/FのIPで出て行くようにできないでしょうか。
ちょっと無理な気はしていますが妙案があるようなら教えてください。
よろしくお願いします。
279 ：anonymous：2012/11/19(月) 12:01:35.74 ID:???.net: あんなんバードにすりゃ行けなくない？
280 ：anonymous@i118-21-113-185.s30.a048.ap.plala.or.jp：2012/11/30(金) 11:47:54.56 ID:6DCVTMDM.net: 教えて下さい。

NetScreen5GT OS5ですが、マルチPPPoEセッションはれないのでしょうか。
具体的にはISPとフレッツ・スクエアの同時接続をしたいです。
281 ：anonymous：2012/11/30(金) 22:11:50.47 ID:???.net: 遠い記憶だけど、サブインターフェース2個作ってそれぞれでPPPoE設定するんじゃなかったっけ？
間違ってたらごめんね。
282 ：280：2012/12/01(土) 14:34:19.41 ID:???.net: >>281
キーワードでぐぐってみたら、できそうな解説ありました。
めっちゃありがとうございます。
283 ：anonymous@07002190030746_ea：2012/12/20(木) 11:35:30.77 ID:JlFKukmH.net: ssg5なんですが
WebUIでポートのduplexって設定できますか？
Interfacesの箇所になかったのでCLIだけですかね？
284 ：anonymous：2012/12/24(月) 22:12:53.66 ID:???.net: グローバルIP一個の環境で、NS-5GTのTrust側に設置したPacketiXの
L2TP/IPsecにiPhoneから接続しようと試みていますが、行き詰って
います。

PacketiXサーバのUDP500とUDP4500に5GTのVIPを設定してますが、
接続できません。
MIPなら問題なく繋がるのですが、複数サーバを公開したいので、
できればVIPで設定したいのです。

手持ちのルーター、YAMAHA RTA54i、LINKSYS BEFSR41C-JP V3、
Buffalo BBR-4HG は上記ポートのNAT設定で問題なく接続できました。

ScreenOSの場合、UDP500、4500のVIP以外に何らかの設定が必要
なのでしょうか？

やりたいことは下記の質問者と同じなのですが、この方も解決には
至っていないようです。
http://www.juniperforum.com/index.php?topic=1541.0
285 ：anonymous@p14016-ipngn100507fukuokachu.fukuoka.ocn.ne.jp：2012/12/26(水) 11:29:46.16 ID:???.net: >>284
PacketiXやったことないがUDP 1701もいるんじゃねーの？
調べてやってみそ。違ったらスマソ。
286 ：284：2012/12/27(木) 12:35:41.63 ID:???.net: >>285
UDP1701もVIPしてみましたが、同じでした。

そもそもiPhoneから5GTに直接VPN接続できれば無問題なのに、
それもできなくて試行錯誤中です。

もうASAでも買おうかな。。。高いけど。
287 ：anonymous：2012/12/27(木) 15:43:31.64 ID:???.net: 俺も5GTとiphoneの組み合わせは挫折した。
c1812ならipsecでもSSL-VPNでもなんでも繋がったからオヌヌメ。
288 ：285：2012/12/27(木) 20:07:12.33 ID:???.net: ちょいとググったら気になる内容が・・・
ttp://www.hs-juniperproducts.jp/faq/ssg_netscreen.html#link05_27

VIPの設定でUDP500設定しても効かないってことなんじゃね？
289 ：284：2012/12/27(木) 23:51:01.49 ID:???.net: >>288
うーん、確かにこの内容の制約に引っかかってるようです。
おそらく自分自身がIKEサービスを提供してるため、そこを開放しない
のでしょうね。

結局IKEはVIPで通せないので、MIPで通すかScreenOSを諦めるしか
ないのか。

ブラウザだけで設定できる手軽さと、高機能が気に入って長らく
使ってきたけど、そろそろ世代交代でしょうかね。

家で使うには機能的に困ることは今まで無かったんだけど。。。
290 ：anonymous：2012/12/28(金) 01:02:11.80 ID:???.net: パケットキャプチャか通信ログ確認すればIKE通ってるか見れる
だろうけど面倒だし、スレの過疎っぷりからわかるように情報少ない。

CLIに抵抗ないならCiscoかYAMAHAの安いやつ薦めとくわ。
乙
291 ：anonymous@p4022-ipbf2009marunouchi.tokyo.ocn.ne.jp：2013/01/02(水) 22:29:04.41 ID:???.net: testzone → trust → untrust

上記みたいな感じでゾーンをまたぐようなポリシーってどう書けばいいんだろう。
そもそもできないのかな。
292 ：anonymous：2013/01/03(木) 01:42:13.82 ID:???.net: >>291
そのトラフィックに沿ったポリシーを書くだけ
一度で済まそうとか考えるからそうなる
293 ：anonymous@p4197-ipbf6802marunouchi.tokyo.ocn.ne.jp：2013/01/03(木) 09:26:26.96 ID:???.net: >>292

おお、うまくいきました。ありがとうございます。
294 ：anonymous：2013/03/23(土) 00:27:06.21 ID:???.net: RAプロキシ使えないのか。。
295 ：anonymous@h200039.dynamic.ppp.asahi-net.or.jp：2013/03/31(日) 13:00:44.58 ID:L4HjLbY8.net: すみませんがちょっと教えてください。
中古のNetScreen5GTを購入しようと思うのですが

NetScreen Ns-5GT-207-03
NetScreen Ns-5GT-107-03

この107/207の違いって何を表してるんでしょうか？

また型番からHA Liteのライセンスがあるかどうか
を判断することは可能でしょうか。

よろしくお願いいたします。
296 ：anonymous：2013/03/31(日) 16:28:33.52 ID:???.net: 自分が覚えてる有線の機種しか書いてないのであしからず。

NS-5GT-007 NS-5GT 10user
NS-5GT-107 NS-5GT Plus 無制限user
NS-5GT-207 NS-5GT Extended 無制限user

詳細は適当にググって出てきたこの資料でも見れ。
ttp://www.scs.co.jp/netscreen/pdf/ns5_matrix.pdf
297 ：anonymous@h200039.dynamic.ppp.asahi-net.or.jp：2013/03/31(日) 18:22:27.42 ID:L4HjLbY8.net: ご親切にありがとうございました。

HA Liteも設定してみたいので207にすることにします。
298 ：anonymous@FLH1Alr067.tky.mesh.ad.jp：2013/05/11(土) 02:20:55.42 ID:LBCmAEgz.net: 初歩的な質問で申し訳ないですが、
NSRPの切り替わり時と切り戻し時に時間が差異があります。
Hold-downはデフォルトです。
Master側のmoniterインターフェースの1本を抜き差しすると
切り替わり時は3秒程度ですが、切り戻し時は3倍以上時間がかかります。
この差はなぜ発生するのか、宜しければどなたかご教示下さい。
299 ：anonymous@120.143.13.30.static.zoot.jp：2013/06/29(土) 20:48:18.87 ID:???.net: SSGも320M以上はx86なんだし
VirtualAppliance版出ないんだろうか・・・。
300 ：anonymous：2013/06/30(日) 22:57:33.20 ID:???.net: 個人的な趣味だけど、FWは物理的に分けておきたい派だわ。　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　
301 ：anonymous@uss.sc-idc.net：2013/07/04(木) NY:AN:NY.AN ID:???.net: ある客から、LAN側からWebUIを開こうとすると超遅いって言われてるんだけど
そんな事例ある？
遠方で確認しにいけないんだけど、リモートで見る限り全く問題なく速いんだよな
302 ：ななし：2013/07/04(木) NY:AN:NY.AN ID:???.net: >>301
ブラウザの違いかもね。
VPN使ってるなら変な拠点折り返してるとか。
303 ：anonymous：2013/07/04(木) NY:AN:NY.AN ID:???.net: やっぱそのへんだよなあ。
ブラウザ変えてみてもらおう。
どうもありがと。
304 ：anonymous：2013/08/21(水) NY:AN:NY.AN ID:psrRFEl8.net: Netscreen 5GT後継何がいいですかねぇ……。
305 ：anonymous：2013/08/21(水) NY:AN:NY.AN ID:???.net: （SSG5では）いかんのか？
306 ：ななし：2013/08/22(木) NY:AN:NY.AN ID:???.net: >>304
fortigate
307 ：anonymous@36.3.108.246：2013/09/11(水) 23:34:15.21 ID:fM2QoVMN.net: 助けてください。
ケーブルテレビのインターネットでSRX繋いでネットしようと思っています。
SRX100のUntrust（fe-0/0/0）でDHCPクライアントを有効にしても
ケーブルモデムからIPアドレスを取ってきません。
Policy設定とか必要なのでしょうか。
よろしくお願いします。
308 ：anonymous：2013/09/13(金) 22:57:23.76 ID:???.net: ここはJunos製品のスレではないぞw
309 ：anonymous：2013/10/15(火) 09:15:04.51 ID:???.net: http://www.juniper.net/support/eol/screenos.html
310 ：anony：2013/10/15(火) 22:55:38.92 ID:???.net: 一瞬心配したけど、もう終わってたわ
問題ない
311 ：anonymous：2013/10/18(金) 00:25:01.94 ID:???.net: 6.3はまた随分延びたねぇ
312 ：SSG5：2013/11/02(土) 20:37:52.83 ID:???.net: SSG5をかなり安価でGetしたまではよいのだけど、設定にはまっていますorz
PPPoEの動的IPからTrustに向けて内側にMIP設定する場合って
どうすれば良いのでしょうか。
PPPoEで貰ったIPをPolicy Elements のaddless listに固定で登録してしまうと、
次アドレスが変わると通信できなくなるし...
313 ：anonym：2013/11/02(土) 21:52:20.88 ID:???.net: VIPでなくて？
314 ：anonymous：2013/11/02(土) 22:41:09.32 ID:???.net: つーか何でPPPoE側からの通信があんだよ
315 ：312：2013/11/03(日) 09:18:46.96 ID:???.net: >313

すいません。312からしばらくいじったらVIPでした...orz

>>314
自宅のglobalは動的ipでして....
といいつつ外からのNATは上手くいったものの、
FTP over TSLの通信がうまくいかず困っていたら...

kb.juniper.net/InfoCenter/index?page=content&id=KB3419&pmv=print

!!!!orz
どなたか良い知恵お持ち方拝借させてください...
316 ：anonymous：2013/11/03(日) 10:26:44.22 ID:???.net: >>315
FTPが必須じゃなけりゃscpで取ればいいだろ
公開鍵は鯖側で事前に用意しろ

> set ssh version v2
> set ssh enable
> set ssh pka-dsa user-name [user] key [key]
> exec ssh tftp pka-dsa user-name [user] file-name [filename] ip-addr [address]

確かこんな感じで行ける
317 ：anonymous：2013/11/03(日) 16:58:21.63 ID:???.net: パッシブFTPの場合、データ転送ポートはランダムに選ばれるわけで
FWはパケットの中身をみて接続要求のあったポートを空けるわけだが、
暗号化されている場合FWはそのポート番号を知る術が無い。

KBのソリューションに書いてあるとおり、サーバ側のデータ転送に使用されるポート範囲を制限して
そのポート範囲のカスタムサービスを作成してそれを許可してやる必要がある。
318 ：312：2013/11/05(火) 21:40:16.72 ID:???.net: >>316

Windowsで良さげなscpクライアントはいませんかね...

>>317
サーバー側のデータ転送に使用しているポート範囲を制限して、
そのポート範囲のカスタムサービスは作ったのですが、
どうにもデータポートOpen以降が通らなくて....
コントロールポートもwellknown開けると危ないから、
ハイポート(1024以上）で一つ開けているのですが。

この場合ApplicationはFTP指定ではなくて良いのでしょうか...
319 ：どんなのがあるんだろう？：2013/11/05(火) 22:57:48.83 ID:???.net: WinSCP以外の鉄板なんて有るんか？
有るなら俺も知りたい
320 ：３１９：2013/11/05(火) 22:59:53.24 ID:???.net: すいません。
Win関連板と勘違いしてましたorz
無視して下さいマシ。
321 ：anonymous@ab144039.dynamic.ppp.asahi-net.or.jp：2013/11/08(金) 05:58:34.96 ID:???.net: netscreen-50をscreenos 5.0で使っています。
もう一台netscreen-50を入手し、screenos 5.0から5.4に移行しようとしています。
設定をエクスポートして、インポートしたのではスタティックルーティングがうまくいきません。
5.4から機能追加された、PBR(Policy-Based Routing)の設定が必須なのでしょうか。
よろしくお願いします。
322 ：あのに：2013/11/08(金) 19:08:00.57 ID:???.net: 設定内容しらんがPBR使わんでもスタティックは動く
323 ：Anonymous：2013/11/09(土) 03:14:50.25 ID:???.net: 5.0はスタティックルートはVR内で設定するんじゃなかったっけ？
5.4ぐらい？からはグローバルで設定できるようになってる。

5.0から直接5.4にはアップデートできないから
5.0→5.3→5.4ってパスになるんじゃね？
324 ：Anonymous：2013/11/09(土) 03:25:38.04 ID:???.net: とおもったが単なる思い違いだった、、。
325 ：anonymous@ab144039.dynamic.ppp.asahi-net.or.jp：2013/11/09(土) 21:05:50.40 ID:???.net: ども>>320です。
そうですかぁ。
PINGは通るので、悩んでます。
326 ：anonymous@ab144039.dynamic.ppp.asahi-net.or.jp：2013/11/09(土) 21:06:31.57 ID:???.net: すみません。>>321でした。。
327 ：あのに：2013/11/10(日) 13:27:53.11 ID:???.net: >>326
3wayは大丈夫か？
その辺でデフォルト変わってた気がするが
328 ：anon：2013/11/10(日) 16:42:43.79 ID:???.net: コンフィグがうまく入っていない可能性は？
元々のコンフィグとインポート後のコンフィグでDIFFとって見るのも手
329 ：Anonymous：2013/11/12(火) 22:31:46.60 ID:???.net: >>325
PINGは通ってるならルーティングできているのでは？
他のサービスが通らないっていう話でしょか？
330 ：anonymous@ab138123.dynamic.ppp.asahi-net.or.jp：2013/11/17(日) 00:24:22.57 ID:???.net: 皆さんありがとうございます。>>321です。

行きはNSを通らず帰りだけNSのルーティングを使う構成になっています。
仰る通り、flow no-tcp-seq-checkが原因のようでした。
screenos5.0までは、set flow no-tcp-seq-checkがデフォルトで、
screenos5.1以降は、unset flow no-tcp-seq-checkがデフォルトのようです。

また、設定ファイルを読み込む時に、margeするとチェックが有効になり、
replaceするとチェックが無効になるようです。

ありがとうございました。
331 ：ano：2013/12/05(木) 00:48:09.43 ID:???.net: juniperのアカウントは製品買わないと登録できないでしょうか？
332 ：anonymous@ab155007.dynamic.ppp.asahi-net.or.jp：2013/12/05(木) 05:26:33.18 ID:???.net: シリアル番号を入力した覚えがあります。
333 ：ano：2013/12/06(金) 00:37:58.85 ID:???.net: >>332
ありがとうございます。
guest という項目があったので登録してみたのですが、
missing～というメールがきて登録に失敗したようでした。

やはりシリアルがないとだめなのかもしれませんね。
中古で買うにしても、前所有者が登録していた場合
エラーになりそうで踏み切れずにおります。。
334 ：anonymous：2013/12/06(金) 21:41:56.40 ID:???.net: とっくにEOLだった中古の5xpのシリアルで
普通に登録できてSSGのまで落としてるけど
335 ：ano：2013/12/07(土) 13:44:05.60 ID:???.net: >>334
まじですか。
5xtだけでなくSSGまで落とせるとは、結構そのあたりのポリシーは
ゆるいんでしょうか。
(というよりもOSがいくらダウンロードされようが、メーカに不都合があまりないからかもしれませんが)
336 ：Anonymous：2013/12/07(土) 16:34:41.48 ID:???.net: >>335
firmwareだけじゃ、動かないからね。
ノンサポだからアップデートに失敗しても自己責任だし。
337 ：anonymous@ngn-west-138-103-139-153.enjoy.ne.jp：2013/12/07(土) 23:51:50.63 ID:???.net: Netscreenで、DMZゾーンを２種類。Trustゾーンを２種類作成し
それぞれのゾーン通信も制限したいと思ってるけど
どんな方法で行うのがよいでしょうか？
338 ：あのに：2013/12/08(日) 02:27:02.83 ID:???.net: ポリシーでやればいいべ
339 ：anonymous@ngn-west-138-103-139-153.enjoy.ne.jp：2013/12/08(日) 23:48:35.73 ID:???.net: ポリシーでDMZからDMZの通信制限できるの？
340 ：Anonymous：2013/12/08(日) 23:57:52.36 ID:???.net: 要は4種類のゾーン間の通信制御たろ？
できるじゃねぇか。
341 ：anonymous：2013/12/09(月) 00:48:34.76 ID:???.net: ポリシーってデフォルトでTrustとかDMZとかついてるけど、
わかりやすくしてるだけで使い方は自由っていう認識で合ってる？
(初期でPingが有効になってたり微妙な違いはあると思うけど)
342 ：あのに：2013/12/09(月) 03:52:50.34 ID:???.net: from-zone DMZ1 to-zone DMZ2 any deny log
少しは調べることを覚えたほうがいい
343 ：アノニマス：2014/01/18(土) 11:59:32.69 ID:???.net: 風の噂で、SSGってもう5年ライセンス購入できない（=サポート出来ない？）と
聞いたんだが、マジ？
いよいよJunos覚えないかんのか・・・？
344 ：anonymous：2014/01/18(土) 18:09:23.04 ID:???.net: 販売店に聞けよ。
それ以前にJUNOS製品に乗換えるなら、別に他社製品でもいいような気がするけどな。
345 ：sage：2014/01/27(月) 22:28:52.04 ID:???.net: そろそろSSGの代わりは決まりましたか？> /home/usr/all?
346 ：anonymous@p2-user: 1014728 p2-client-ip: 49.98.151.169：2014/01/28(火) 06:41:37.69 ID:???.net: >>345
SRX　

はないか
347 ：anonymous：2014/01/28(火) 21:35:37.90 ID:???.net: 同じくASIC製品ということで、FortiGate？
348 ：ななし：2014/01/29(水) 07:31:35.92 ID:???.net: >>347
だね。元々netscreenから派生した？会社だしね。
349 ：anonymous：2014/01/30(木) 01:44:42.55 ID:WUnKBJtm.net: ScreenOS使わない商品買うくらいなら他社にいくよね？
350 ：anonymous：2014/03/10(月) 07:31:56.07 ID:???.net: 結局、ScreenOS使った機器の今後はどうなるんだろう？
いい加減初期にSSG買った客のリプレース時期なんだが。
351 ：anonymous@140.208.138.210.vmobile.jp：2014/03/13(木) 13:48:37.86 ID:???.net: おいら一生netscreen50でいくよ
中古でもう一台買ってHAするんだ
352 ：anonymous：2014/03/13(木) 19:46:16.60 ID:???.net: EOL終了後に致命的なセキュリティホールが見つかったらオワコンだろw
自宅にある208もどうしてくれようかな。
353 ：anonymous：2014/03/16(日) 16:16:25.90 ID:???.net: ギガビット対応してないけど、どうせ外部と通信してたらどっかで
速度落ちるし全然問題ないもんな。
問題あるとしたらセキュリティホールぐらいしか思いつかん。
354 ：anonymous：2014/03/16(日) 22:29:39.60 ID:???.net: >>350
今なら、もう1回SSG行けんじゃね？同機種更新で事足りるなら。
上の方でも出てたが、Junos6.3のEoL/EoS、2019/12/31まで延長されてっから。
今からなら、5年リースで、もう1サイクル回せるぜ。

その先は・・・神のみぞ知る。
355 ：anonymous：2014/03/17(月) 09:31:45.44 ID:???.net: Junos6.3？ScreenOS6.3じゃなくて？
356 ：anonymous@h219-110-205-225.catv02.itscom.jp：2014/03/29(土) 23:19:02.19 ID:???.net: さり気無くjunosに誘導してるな
357 ：anonymous：2014/03/30(日) 14:11:16.45 ID:xl1JNa0n.net: ScreenOSじゃないNetscreenなんて要りません
そんなの使うくらいなら他社のFWアプライアンス使うわ
358 ：anonymous：2014/04/01(火) 22:09:18.34 ID:???.net: Junosって実際のところ使いにくい？
359 ：anonymous：2014/04/04(金) 12:57:24.60 ID:tC1EiEj3.net: 客「缶切りを１つください」
Juniper「はい、十徳ナイフをどうぞ」

こんな感じ
360 ：anonymous@softbank221094115231.bbtec.net：2014/04/05(土) 15:47:07.07 ID:qZAyZsAZ.net: 電話屋じゃないけどすみません教えて下さい。

ローゼット内のＬ１と２端子のとこにマイナスドライバー
あててるのを見たけど、一瞬パチって音がした。
あれって直流５０Ｖなのに、ショートして壊れないのか？
361 ：ななし：2014/04/05(土) 20:22:48.71 ID:???.net: >>360
線路長があるし電流自体もそんなに流れないようになってる。
まあパチパチ何回もやってるとNTTから電話かかってくるぞ。
362 ：anonyumous：2014/04/06(日) 21:23:07.36 ID:???.net: >>359
色々できるのかもしれんが使いずれーよって感じか。
363 ：anonymous@k184164.ppp.asahi-net.or.jp：2014/04/06(日) 21:30:24.91 ID:???.net: 客「缶切りを１つください」
Juniper「（無造作に道具類が放り込まれた箱を差し出して）こんなかからテキトーに探して」

こうじゃないか
364 ：anonymous：2014/04/06(日) 23:42:39.28 ID:???.net: 後継と呼ばれる製品は扱ったことあるが、使い易いとは御世辞でも言えん製品だったな。残念だけど、まだFortigateの方が許容出来るわ。
365 ：anonymous：2014/05/04(日) 18:15:33.33 ID:???.net: 十分に枯れきってる安心感から、まだ提案時には候補に入れてます
IDS(P)があると他プロダクトに座を譲ることになるけれど。
EOS考えるとあと２年が限度かな
366 ：anonymous：2014/05/04(日) 20:43:06.43 ID:???.net: DIでは代替提案には難しいのかな。
ScreenOS終わったらショックだなあ。
367 ：anonymous：2014/05/13(火) 03:12:39.26 ID:???.net: 完全に終わったら、オープンソース化希望
368 ：ななし：2014/06/03(火) 06:41:01.81 ID:???.net: バイト先で、使わなくなったNetScreen-5XTを貰ってきたんですけど、これって、PeerBlock(Windowsの
ソフトです)みたいに、食わせたIP一覧を元にして遮断したり通したりすることって出来ますか？日本以
外のIPを全部弾くといったような使い方です。

それにしてもこれ、めちゃくちゃ熱を持つんですね。怖いくらい。
369 ：anonymous@120.125.214.202.vmobile.jp：2014/06/10(火) 03:06:23.25 ID:???.net: 年内いっぱい終わりだってさ。
370 ：anonymous@kav03.raidthink.com：2014/06/10(火) 09:33:23.85 ID:???.net: >>369
何が？
371 ：anonymous：2014/06/15(日) 01:34:38.64 ID:???.net: SSG5をFWとして使っているのだけどUntrust側にルータがありそこからインターネットに接続している
その上でUntrust側にあるPCやスマホのインターネットへのアクセス制御をするためにあえてSSGをゲートウェイにし
Untrust上にあるルータにスタティックでルーティングしてネットに出すようにしているのだけど
そのUntrust上のスマホからのLINEによる通信が異常に遅いんだけど理由分かる人いる？
通信できないわけじゃなく劇的に遅い。
ちなみにゲートウェイをルータに直接張った場合はやたら早いので回線やルータのせいではないし
ポリシーも全通しで設定して試しているけどそれで遅い。
ログ見ても特に何かをDenyしている事はない。通信としてはhttp/httpsと5228しか発生していないようだし
それは通過しているので原因がつかめない・・・
372 ：372：2014/06/15(日) 01:38:02.64 ID:???.net: ちなみに同じくUntrust側においてある通常のPCからの通信は特に何か他が遅いということはないようだ。
スマホからのLINE以外の通信も特に遅いと感じたことはないんだよなぁ。
373 ：anonyumous：2014/06/15(日) 02:10:24.01 ID:???.net: スマホをTrust側においたらどうなる？

LINEだけってことはアプリケーションレベルの話でどうしようもないかも。
374 ：372：2014/06/15(日) 04:44:32.25 ID:???.net: >>373
Trust側には無線がないからスマホではチェック出来ないんだよね
PCのLINEアプリはTrustのPCでチェックしたけど遅くならない
アプリケーションレベルの問題だとしたらSSGを通さないでルータをゲートウェイにした時は
この問題が起こらないのも理由が分からんのよね
もしかしたらLINE以外でも遅いことがあるのかもしれないが他のスマホアプリはそもそもが
速度が明確に分かるような使い方してないってのもあるのかも。
ブラウザでウェブ見るのは普通に早い気はする。
375 ：372：2014/06/15(日) 04:47:05.13 ID:???.net: やはり今チェックしてみたがブラウザも早いし2chも早い。
LINEだけがやたら遅い。←マークがなくなるまで10秒ぐらいかかる時がある
さらに問題をややこしくしているのはたまに普通に早い時があるんだよ
ログでは特に早い時と遅い時で何か違いがあるようには見えないんだよなぁ。
376 ：anonymous：2014/06/15(日) 07:01:29.33 ID:???.net: Untrust側にルータって所謂Wi-Fi付のブロードバンドルータのこと？

(グローバル)
│
[ルータ]
│
├[PC1][スマホ]
│
[SSG5]
│
┴─[PC2]

どういうポリシー切ってるのか知らんけど、普通にルータとSSG逆にしたらよくね？
プライベートNWのセグメント分けたいならSSG配下で分けられるし。
377 ：anon：2014/06/15(日) 17:34:01.49 ID:???.net: http://www.juniper.net/jp/jp/dm/branch-srx-campaign/
378 ：372：2014/06/15(日) 22:19:47.33 ID:???.net: >>376
構成はまさにその通りの構成なんだけど入れ替えは出来ないんだ
理由としてはSSG5の周辺にはDMZも作っていて有線接続のサーバがたくさん配置されてあるんだが
ルータ及びONUのそばにはそれを設置するスペースが無いためSSGにイーサネットコンバータで
無線ルータとONUがある場所に無線でUntrustの通信を飛ばしている
回線の口がそのスペースがない場所にしかないため仕方なくそういう構成になっている
379 ：Anonymous：2014/06/16(月) 04:19:35.02 ID:???.net: なんという苦肉の策、、

物理もそうだが、どういうルーティングになってるんだ。。

VLAN切れるスイッチを用意してグローバルNWとルータのLAN側NWを別VLAN割り当てて繋いで
Trunkに設定したポートをアドホックで繋げられるイーサネットコンバータでSSGに接続
SSG側接続ポートでSub-IF作ってVLAN-ID指定してグローバルとルータのLAN側のIPを設定したら
論理的にはキレイになるかも・・・。
380 ：372：2014/06/18(水) 23:15:40.61 ID:???.net: >>379
返事が遅れてスイマセン。

構成としては

[VDSLモデム]→インターネット
│
[無線ルータ]
│（無線）
├[PC1（無線LAN）][スマホ]
│（無線）
[イーサネットコンバータ]
untrust
[SSG5]ーDMZー[SV1（有線）］[SV2（有線）］[SV3（有線）］
│
trust
┴─[PC2（有線）]［PC3（有線）］

のような構成になってます。ルーティングは至極簡単で無線ルータが192.168.0.0にスタティックで
SSG5のuntrustインタフェースにしているだけです。

なのでPC1やスマホは無線ルータで無線を受けたあとDHCPでSSG5からIPを払いだしてもらう形になっています。
払い出すIPはUntrust側のセグメントアドレスでデフォゲをSSG5のインタフェースに張っており
SSG5はデフォルトルートで無線ルータのLAN側インタフェースを張っている。

見て頂ければ分かる通り無線ルータインターネット側のインタフェースはPPPoEで接続しているため
グローバル側にVLANを持たせて回すようなやり方は出来ない。

なぜ通信が無駄に遅いのかは理解できないんだよなぁ・・・
381 ：anonymous@k184164.ppp.asahi-net.or.jp：2014/06/19(木) 00:17:54.40 ID:???.net: この構成だと、ポリシーや設定によってはicmpが破棄されるかも
icmp通らないとpath mtu discoveryできなくなるから注意
382 ：anonym：2014/06/19(木) 01:55:59.45 ID:???.net: http://www.atmarkit.co.jp/fwin2k/win2ktips/613icmpredir/icmpredir.html
http://networksecurity.cocolog-nifty.com/blog/2007/02/netscreenicmp_a4f9.html

まぁなんにしてもScreenOSには非推奨な構成です。
何が起こっているのか見るのにdebug使ってみるのも手だね。
ちなみにPPPoEはL2上のプロトコルなのでVLANでカプセル化できます。
383 ：372：2014/06/19(木) 04:52:17.21 ID:???.net: >>381
ポリシーは一応全通しにしてあるんだけど今見たらインタフェースのpath mtuにチェックが入っていないので
それが原因の可能性もある？
384 ：372：2014/06/19(木) 05:05:26.85 ID:???.net: 今試してみたけど関係なかった
しかしどの辺が非推奨な設定なのかが分からない
まぁUntrustでのIntra-zone policyになってる事自体があまり綺麗とは言えないというか
同一セグメント上の別の機器にルーティングしてる時点でおかしな構成ではあるのだが
SSG通さないと通信の制御が出来ないから仕方なく・・・
385 ：anonymous@k184164.ppp.asahi-net.or.jp：2014/06/19(木) 09:17:08.10 ID:???.net: あと unset flow tcp-syn-check いれてみるとか
386 ：372：2014/06/19(木) 09:36:41.27 ID:???.net: >>385
今ソレやってみたらスムーズに通信が流れてるというか反応が早い。
もしかしたらこれが原因かもしれない。少し様子見してから判断にはなるけど
解決が見えてきたかも。マジでありがとう。詳しい人がいてくれて助かったよ！
387 ：372：2014/06/19(木) 09:46:38.41 ID:???.net: unset flow tcp-syn-checkについて色々調べて分かったんだけどまさに
これが原因としか思えない内容があちこちに書いてある

SSGが導入されたネットワークにおいてGatewayが2つあり、SSGをデフォルトゲートウェイにしている場合、
SSG以外のGatewayの向こうにあるネットワークにアクセスする場面においてパケットがタイムアウトする、と

不可解なところは、最初はパケットのやり取りには問題ないところで、ある程度時間が
経過すると、現象が発生します。とも書いてあるんだがまさにこれ！

しばらく様子見してみるけど事象があまりにもそれっぽいのでこれに間違いはなさそうな気配
388 ：anonymous：2014/06/19(木) 11:00:00.92 ID:???.net: 長文だったんで読んでなかったんだけどそれが原因で悩んでたんか。気がつかずに済まん。

俺が設定する場合にはもう次の3行はデフォルトで設定するようにしてる。
当然、場合によってはやっちゃダメな場合もあるからそれは考慮してくだされ。

unset flow no-tcp-seq-check → set flow no-tcp-seq-check
set flow tcp-syn-check → unset flow tcp-syn-check
set flow path-mtu 追加
389 ：anonyumous：2014/06/20(金) 00:22:07.61 ID:???.net: それが原因だったかあ、現象がLINEだけっていうのが気になって
そこにたどり着かなかった。
390 ：372：2014/06/20(金) 02:24:44.56 ID:???.net: 半日以上様子見してるけど安定的にいけてるっぽい
現象は実際はLINE以外でも発生していたのかも知れんが再送の場合通したりしてしまうため
LINEの←マーク以外は明確に目について速度差を感じ取れなかったってのもあるかも
他の通信はちょっと遅いかな？とか思ってももともとそんなクソ早いとも限らない通信でもあるからね

ちなみにset flow no-tcp-seq-checkは一緒にやったけどset flow path-mtuはインタフェース設定の
チェックとどう違うのかイマイチ分からんので入れていない
391 ：anonymous@251.208.138.210.vmobile.jp：2014/06/21(土) 15:34:38.29 ID:???.net: 行きと帰りの経路が違う場合に有効なのよね。
392 ：anonymous：2014/06/21(土) 19:03:14.57 ID:???.net: ここの中の人。スキル高そう。
393 ：anonyumous：2014/06/21(土) 20:48:48.04 ID:???.net: 書き込みは少ないけど良スレだよねｗ
394 ：anonymous：2014/06/23(月) 07:43:49.50 ID:85+qnf+B.net: あとはJuniperがScreenOS続けます宣言すればいい
EOLとかいやだ
395 ：anonyumous：2014/06/23(月) 22:29:33.34 ID:???.net: ガチで辞めるメリットないもんな。
396 ：あのに：2014/06/24(火) 02:00:10.23 ID:???.net: >>390
SSGからみてsynは通ったけどsyn-ackは見てない
でも、ack出てってる
おかしくね？で遮断
3wayの流れをトレースしてみて、それなら確定でいいよ
397 ：anonymous@147.208.138.210.vmobile.jp：2014/06/25(水) 18:32:33.27 ID:???.net: PPPoE接続してるNS50にHA設定したら、再起動すべきですか。
398 ：anonyumous：2014/06/25(水) 22:31:57.70 ID:???.net: 再起動は要らなかったと思う。曖昧な記憶だけど。
399 ：anonymous：2014/06/26(木) 03:23:53.93 ID:???.net: >>396
set flow no-tcp-seq-checkってそういう通信を遮断しないって意味の設定なの？
400 ：anonymous：2014/06/26(木) 05:02:06.77 ID:???.net: SSG5程度の大きさでGigaポート備えたScreenOSのFWが欲しいと思ってる人多そう

俺のことだけど
401 ：Anonymous：2014/06/26(木) 09:08:45.28 ID:???.net: >>400
SRX100の下にってことかい？
でももうScreenOSは出さないって言ってたぞ。
402 ：anonymous：2014/06/26(木) 17:40:16.89 ID:???.net: なんか終わるのが正式に決まったって話だな
403 ：aaa：2014/06/26(木) 17:55:55.21 ID:???.net: これは良いスレだ！
404 ：anonyumous：2014/06/26(木) 19:58:59.59 ID:???.net: >>400
まさに俺もだわ。
結構売れると思うんだけどな。
SRX100ってギガ対応してたっけ？
405 ：anonymous：2014/06/26(木) 20:20:15.39 ID:???.net: SRX 高いよ。。。。
406 ：anonymous：2014/06/26(木) 22:42:35.49 ID:???.net: 高い安い以前にJUNOSの使いにくさときたら・・・
アレ使うぐらいならFortiのがマシ
407 ：あのに：2014/06/27(金) 02:38:54.20 ID:???.net: >>399
それはシーケンスを見るか見ないかだったかと
tcp-syn-checkでsyn,syn-ack,ackのチェックをするかしないか
408 ：anonymous：2014/06/27(金) 19:53:51.12 ID:???.net: >>407
unset flow tcp-syn-checkの方か

行きの経路と帰りの経路が違う場合は3wayの仕組みで言うと
synが来てsyn-ackが来ないままackが来る状態にSSGからは見えてしまうってところは分かるが
なぜ出来たり出来なかったりするんだろうなぁ。
409 ：anonymous@k184164.ppp.asahi-net.or.jp：2014/06/28(土) 10:48:10.98 ID:???.net: icmp-redirectとかで一時的に経路を学習するから？
410 ：Anonｙ：2014/06/29(日) 01:27:40.98 ID:???.net: ScreenOSはICMP Redirect対応してないんじゃね？
SRXはオン/オフできたとおもうけど。
411 ：anonymous@225.208.138.210.vmobile.jp：2014/07/01(火) 19:44:13.16 ID:???.net: NS50でHA成功しました。
ただ、サブ機でアラームLEDがついて、DNSエラーが起きてるみたい。
その後DNS接続成功してるけど、接続の度にエラーになって、その後成功。
メイン機では、エラーは無いけど、なんだかなぁ、です。
同じような事例はありますか？
ScreenOS5.4r26です。
412 ：Anonymous：2014/07/02(水) 22:56:38.29 ID:???.net: PPPoEセッションが張れるのはMaster機だけなら
Backup機はグローバルへのルートが存在しない状態。
グローバルにあるDNSを参照できないのは当たり前のような気がするが。
413 ：anonyumous：2014/07/02(水) 23:14:48.51 ID:???.net: その後成功しているのはセッションが同期されているためかな？
414 ：anonymous@138.208.138.210.vmobile.jp：2014/07/07(月) 17:19:06.37 ID:???.net: ありがとうございます。
皆さんには、感謝します。
415 ：anonymous@122.216.28.245：2014/07/23(水) 13:15:18.22 ID:???.net: vipの設定をしていたら、too many virtual ip って出て、vipの設定ができないんだが、これってライセンス数の制限でもかかってるのかな？すみません教えてください。
416 ：anonymous：2014/07/23(水) 18:08:52.73 ID:???.net: vipの数って機種ごとに上限があるよ。
ちなみにSSG5で4つまで。（ただし、Extended版では5つまで）
417 ：anonymous@FL1-122-130-131-93.tky.mesh.ad.jp：2014/07/23(水) 19:50:21.27 ID:???.net: netscreen25だとvipは二つまでなのかな？スクリーンOSを4系から5の最新版にしても駄目なんですかね？
あー困った.・・・・・
418 ：anonymous：2014/07/23(水) 21:04:34.56 ID:???.net: >>417
NetScreen-25のScreenOS 5.4ならVIP 16までいけない？
仕様上はそうなってるが。
419 ：anonymous：2014/07/24(木) 00:00:33.77 ID:???.net: VIPってそんなに少なかったっけ？
OSバージョンによっても上限値変わる項目あった気がするね。
特に情報なしでスマソ。
420 ：anonymous@FL1-119-240-201-209.tky.mesh.ad.jp：2014/07/24(木) 00:48:17.90 ID:???.net: たしかにNetScreen-25の5.4だったら公式だとvip16になってるんですよね
ちょっと明日最新版にバージョンアップしてみます！
いきなり大幅なバージョンアップだから壊れないか心配ですｗｗｗ
421 ：anonymous@k184164.ppp.asahi-net.or.jp：2014/07/24(木) 03:48:54.91 ID:???.net: シリアルケーブルと各バージョンのファームウェアと、tftpdを用意しておけよー
422 ：anonymous：2014/07/24(木) 06:25:10.80 ID:???.net: WebUIからのアップデートだと確かにバージョンによってはうまくいかないことがあったね
423 ：Anonymous：2014/07/24(木) 09:34:25.45 ID:???.net: メモリが足りないとかなんだかで転けるんだよな
424 ：anonymous@184.125.214.202.vmobile.jp：2014/07/27(日) 13:14:28.89 ID:???.net: 2ヶ月ほど電源を切っていたNS50の電源を入れたら、コンソールへ次の表示が繰り返され止まりません。
止めている間に、ハードが壊れたでしょうか？
Invalid BCD number-ff
Illegal month value 0###time trace:, Trace Dump ................

フラッシュが死んじゃったかな
425 ：blob：2014/07/27(日) 14:54:07.91 ID:???.net: http://kb.juniper.net/InfoCenter/index?page=content&id=KB4939&pmv=print
426 ：anonymous@p21007-ipngn100208osakachuo.osaka.ocn.ne.jp：2014/08/11(月) 23:50:18.12 ID:???.net: ssg5 wirelessが3000円でゲットできた。
純正アンテナがなかったが、アンテナ2本を700円で買ってきてくっつけたら何の問題もなく動いた。
これで遊べるわぁ
427 ：anonymous：2014/08/12(火) 22:39:34.96 ID:???.net: ちょっと教えて欲しいのですがSSGでは通常の名前解決はDNS Proxyでやりつつ、
個別のホスト名だけは特定IPに名前解決をしてやる方法はありますか？
通常は外のDNSサーバに名前解決をリレーしてあげたいのですが、
内部サーバをわざわざループバックさせたくないので・・・
428 ：anonymous：2014/08/12(火) 23:02:29.62 ID:???.net: 内部の端末のhostsファイルにサーバのIPとホスト名書いちゃうとか。
だめか。。
429 ：anonymous：2014/08/12(火) 23:06:12.37 ID:???.net: >>428
その方法だと内部にぶら下がってる全ての端末のhostsを書き換えないといけないのと
ぶら下がってるモノの中にはandroid端末もあったりするので書き換え不可なモノもあるの
内部に自由にいじれるDNSを建ててしまうって手も考えたけどたかだかこんな事のために
サーバ1台立てるのは・・・ってのもあってどんな通信も経由するSSGが個別に名前解決出来たら
全ての問題が解決するのになぁと思った次第
430 ：anonymous：2014/08/13(水) 09:52:25.09 ID:???.net: >>427
ドメインレベルでなら出来たけどホストレベルまで出来るかどうかはやったこと無い。
431 ：431：2014/08/13(水) 09:53:57.17 ID:???.net: 補足
解決するDNSをドメインべつに変えただけで、SSGにダイレクトにIPを解決させたわけじゃ無いです。
432 ：anonymous@k184164.ppp.asahi-net.or.jp：2014/08/13(水) 09:55:11.05 ID:???.net: CacheのStatic
433 ：anonymous：2014/08/13(水) 23:35:05.77 ID:???.net: >>431
それだとどうしても別にDNSが必要になってくるので・・・
余ってるPCにBJDのDNS入れてみたけど不安定で使いものにならん
素直にBIND入れた端末作るしかないか・・・
434 ：anonymous：2014/08/13(水) 23:56:36.56 ID:???.net: Raspberry PiにUnboundでいーじゃん
435 ：anonymous@26.178.138.210.vmobile.jp：2014/09/10(水) 19:05:44.39 ID:???.net: このスレは生きてますか？
436 ：anonymous：2014/09/10(水) 20:35:11.45 ID:???.net: >>435
NETSCREEN、SSG死んでるｗ
437 ：anonymous@49.125.30.125.dy.iij4u.or.jp：2014/09/11(木) 08:45:36.26 ID:???.net: EOL
438 ：anonymous@：2014/09/12(金) 00:16:15.67 ID:???.net: キャンペーン価格のSRXに移行するか、他ベンダーに移行するか・・。
439 ：anonymous：2014/09/12(金) 01:26:17.84 ID:???.net: SRX選んだってSSGとは別物だし、他社製品を選ぶのと大して変わらん。
440 ：anonymous@ai126197026050.18.access-internet.ne.jp：2014/09/16(火) 20:39:18.83 ID:???.net: 今320使った構築やらされてんだけど、SRXのほうがいいのか
441 ：anonymous：2014/09/17(水) 03:52:17.19 ID:???.net: はい
442 ：anonymous：2014/09/17(水) 07:03:30.86 ID:???.net: 使ってみりゃ分かるw
443 ：Anonymous：2014/09/20(土) 02:59:51.70 ID:???.net: 320mだとJunosとコンパチだけどあれはJシリーズか
444 ：anonymous：2014/09/24(水) 01:34:55.43 ID:1ly2eQAQ.net: EOLまでScreenOSで粘るのが正解
445 ：anonymous@pw126152000161.10.panda-world.ne.jp：2014/09/26(金) 07:38:05.87 ID:???.net: >>298
亀だけど、切り戻りする際に元masterが完全に復旧してるかわかんない(再起動が続いてしまう故障とか)から
ある程度連続で応答があったら切り戻りしましょうねっていう設定があるよ
446 ：anonymous：2014/10/09(木) 11:53:53.52 ID:XJgbeELh.net: 社内FWをSSG320にしたった
447 ：anonymous：2014/10/11(土) 20:50:30.41 ID:???.net: Ciscoスレで泣いてる人みーっけ
448 ：anonymous：2014/10/13(月) 14:25:57.09 ID:???.net: IDが一致w
449 ：anonymous：2014/10/18(土) 22:11:34.16 ID:???.net: >>427だけどもしかしてDNSキャッシュのスタティック登録で出来るかもしれないっぽい気がしてきたんだけど
誰かやったこと無い？
450 ：anonymous：2014/10/19(日) 00:16:07.11 ID:???.net: あるよ
451 ：anonymous：2014/10/23(木) 13:27:03.14 ID:???.net: >>447 >>448 バレバレでワロタです
452 ：anonymous@179.178.138.210.vmobile.jp：2014/11/19(水) 18:57:24.44 ID:???.net: 二拠点間でVPN接続しているNS50の両方をHAしたら、別拠点のメインとサブの管理画面が表示されなくなりました。それぞれ自分側の管理画面は表示されます。
管理画面はそれぞれ専用のIPを振ってます。
こんなもんでしょうか。
453 ：anonymous：2014/11/19(水) 21:06:41.99 ID:???.net: >>452
両方マスターになってるオチが浮かんだけど、
管理画面以外の通信は問題ない？
454 ：anonymous@179.178.138.210.vmobile.jp：2014/11/20(木) 15:34:17.75 ID:???.net: 各拠点を2台づつでHAして、それぞれはマスターとサブになってます。
その他異常はないんです。
455 ：anonymous：2014/11/20(木) 22:24:16.20 ID:???.net: >>454
IP3つ振ってるよね？
456 ：anonymous@13.208.138.210.vmobile.jp：2014/11/21(金) 18:59:25.43 ID:???.net: 三つ振ってます。
457 ：ななし：2014/11/21(金) 21:10:22.69 ID:???.net: >>452
管理用のIPへのルートある？
458 ：anonymous：2014/11/21(金) 21:13:53.59 ID:???.net: 管理用IPへのポリシーある？
マスター→スタンバイへのポリシーは対向側でNAT必要
459 ：anon：2015/03/08(日) 17:55:57.46 ID:???.net: Firefox 36.0にアプデしたらssg140の管理画面にアクセスできぬorz
460 ：anonymous@s958103.xgsspn.imtp.tachikawa.spmode.ne.jp：2015/03/09(月) 08:24:09.13 ID:???.net: >>459
違うブラウザ使うべし
461 ：anon：2015/03/09(月) 23:04:59.24 ID:???.net: >>460
ありがと。SSL捨てればいいが乗り換えしかないかorz
Fx昔のバージョンではオブジェクト削除ができなかったこともあったな
462 ：anonymous：2015/04/18(土) 00:23:56.77 ID:???.net: Defaultのは期限切れの証明書だから新しく自己署名証明書作って
それをManagementのCertificateに設定すればOK
463 ：anonymous：2015/08/20(木) 07:58:38.60 ID:Oh+ZGAc4.net: ScreenOSっていつまで続くの？
464 ：Anonymous：2015/08/20(木) 09:14:24.14 ID:???.net: ググりゃすぐ出てくるでしょ。

SSGでまだ販売してた機種の販売終了が案内されたから、
残ってた6.3系も2021/1/31でEoE/EoLが決まったよ。
465 ：anonymous：2015/08/21(金) 20:20:15.81 ID:???.net: 終了ば残念だけど。そもそも後継機が残念過ぎで別メーカ品へ乗り換えているユーザは多いはず。
466 ：anonymous@nttkyo046145.tkyo.nt.ngn2.ppp.infoweb.ne.jp：2015/10/20(火) 22:27:39.37 ID:t4BN0CDH.net: 機種：SSG140
OS：ScreenOS 6.2.0.r6.0

192.168.0.1を必ず1.1.1.1、192.168.0.10を必ず1.1.1.10にアドレス変換をしたいのですが、
下記の設定でそのような動作になるかご教授いただけないでしょうか。
また設定に過不足があるようであれば、その内容についてもご教授いただけないでしょうか。

SSG5-> set interface ethernet0/0 dip 5 shift-from 192.168.0.1 to 1.1.1.1 1.1.1.10

set address trust host1 192.168.0.1/32
set address trust host2 192.168.0.10/32

set address trust hostR1 1.1.1.1/32
set address trust hostR1 1.1.1.10/32

（その他、ポリシー設定あり）

<<アドレス変換>>（期待値）
192.168.0.1 → 1.1.1.1
192.168.0.10 → 1.1.1.10

第4カラムが連続していれば、大丈夫そうには見えますが、
アドレスに間がある場合についてが記述がなく困っております。

また、以下のような設定は可能でしょうか。

SSG5-> set interface ethernet0/0 dip 5 shift-from 192.168.0.1 to 1.1.1.1 1.1.1.1 ←既存設定
SSG5-> set interface ethernet0/0 dip 6 shift-from 192.168.0.10 to 1.1.1.10 1.1.1.10 ←追加設定
467 ：anonymous@KD111107186159.au-net.ne.jp：2015/10/21(水) 23:02:23.37 ID:???.net: VIPじゃダメなんけ？
468 ：anonymous@nttkyo046145.tkyo.nt.ngn2.ppp.infoweb.ne.jp：2015/10/22(木) 06:18:36.05 ID:???.net: >>467
vipについては、宛先アドレス変換と認識してました。。
vipの機能を調べてみます。

もし宜しければ設定イメージを教えて頂けないでしょうか。
469 ：ano：2015/10/22(木) 08:34:35.05 ID:???.net: >>468
やりたいこと書かなきゃ設定イメージ書けんよ
470 ：anonymous@p61212-mobac01.tokyo.ocn.ne.jp：2015/10/22(木) 12:31:51.50 ID:???.net: >>469
大変失礼しました。

トラスト➡アントラストの通信において 192.168.0.1/24を必ず1.1.1.1/24、192.168.0.10/24を必ず1.1.1.10/24にアドレス変換を行いたいです。
192～はトラスト、1.1.～はアントラストになります。
※変換前後のアドレスの紐付けをどうしても変えられない状況です。

不足な情報があれば、申し訳ないですがご指摘頂きたく。
471 ：ano：2015/10/22(木) 21:45:21.63 ID:???.net: >>470
目立か…
とりあえず、ポリシーでSNATでいいんじゃないかな
出先だから家帰ったらサンプルだせたらだすわ
472 ：anonymous@KD182250242008.au-net.ne.jp：2015/12/24(木) 18:28:20.42 ID:???.net: screenosにとんでもない脆弱性がみつかったのを確認しているか？
特定のosバージョンだとCUIでアクセスさえできれば誰でもログインできる。
473 ：anoymous：2015/12/24(木) 22:49:20.70 ID:???.net: 修正版ファームウェア出たね。
474 ：anonymous：2015/12/25(金) 08:50:07.53 ID:???.net: ソースくらい貼ったれよ

脆弱性が発見されたジュニパーの「ScreenOS」にデフォルトのバックドアパスワード
http://japan.zdnet.com/article/35075323/
475 ：anoymous：2015/12/25(金) 22:53:33.99 ID:???.net: http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10713&actp=search
2015-12 Out of Cycle Security Bulletin: ScreenOS: Multiple Security issues with ScreenOS (CVE-2015-7755, CVE-2015-7756)

公式のやつ。
476 ：anonymous@86.72.239.49.rev.vmobile.jp：2016/04/16(土) 12:23:16.73 ID:???.net: 基本的なことですまん
ポリシーベースとルートベースはどちらがパフォーマンスが高いですか
VPNね
477 ：anonymous：2016/04/21(木) 09:40:44.57 ID:???.net: さてISG2000も終売になっちゃったけど
後継機何にするかね
478 ：anoymous：2016/04/24(日) 01:59:31.34 ID:???.net: >>476
おなじだよ。
479 ：anonymous：2016/04/25(月) 14:52:35.27 ID:wTukt1lq.net: 後継機種はfortigateになります
480 ：sage：2016/04/26(火) 15:01:37.45 ID:???.net: fortigate使いにくい
481 ：anoymous：2016/04/26(火) 18:13:12.34 ID:???.net: かと言ってSRXもクソだしなあ。
使い易いFWが無いなあ。
482 ：anonymous：2016/04/26(火) 20:10:18.61 ID:???.net: 僕パロアルトオオオオオ
483 ：それは：2016/04/26(火) 23:36:58.76 ID:???.net: 遅すぎなんだよおおおおお
484 ：anonymous@FL1-122-134-21-221.hkd.mesh.ad.jp：2016/06/01(水) 00:50:01.53 ID:yOEsxbU2.net: マインドコントロールの手法

・沢山の人が、偏った意見を一貫して支持する
　偏った意見でも、集団の中でその意見が信じられていれば、自分の考え方は間違っているのか、等と思わせる手法

・不利な質問をさせなくしたり、不利な質問には答えない、スルーする
　誰にも質問や反論をさせないことにより、誰もが皆、疑いなど無いんだと信じ込ませる手法

偏った思想や考え方に染まっていたり、常識が通じない人間は、頭が悪いフリをしているカルト工作員の可能性が高い

靖国参拝、皇族、国旗国歌、神社神道を嫌うカルト

10人に一人はカルトか外国人

「ガスライティング」で検索を！
485 ：anonymous：2016/06/06(月) 21:07:55.01 ID:ugyF/PDF.net: 色々使ってきたが、Screenosがやっぱ一番だわ。
もう開発者残ってないんかな。
486 ：anonymous：2016/08/10(水) 09:55:31.68 ID:???.net: >>485
俺もそう思う
勿体ないよなあ
487 ：anonymous：2016/09/22(木) 00:29:30.74 ID:jdkolcKBm: Juniperサイトで新規にアカウントを作ろうとしたが
5GTのシリアル入れても Invalid になる
もうScreenOSダウンロードできないのか・・・
488 ：anonymous@ 240f:78:f04:1:1868:8366:4443:714b：2016/11/16(水) 05:33:57.14 ID:nTdBCqbii: 無料風評被害対策のブッダワークス
http://www.buddha-works.net
489 ：anonymous@103-226-44-4.ty4.wi-gate.net：2017/06/02(金) 12:32:15.88 ID:???.net: screenos6.2において、1つの物理インタフェースにIPv4とIPv6の二つの
PPPoEクライアントを割り当て、各々IPアドレスを受け取ることは出来
たでしょうか？

ssg5で実際にやろうとすると、2つめのPPPoEにインタフェースを割り当てる
段階で、1つめのインタフェースがプルダウンメニューに無いので選択できない
のです。

繋げたいプロバイダはフレッツなのですが、necのwg1800hp2だとこう言う
芸当が簡単にできるのに、SSG5だと上手くいかないので困っています。
490 ：anonymous：2017/06/02(金) 17:34:17.88 ID:???.net: Sub-IFを作ってe0/0.1でPPPoEするとか
IPv6に対応してるかどうかはわからんけど
491 ：sage：2017/06/02(金) 19:44:01.18 ID:???.net: >>489
とりえあず、サポート終わってる6.2なんか使わず6.3にすれば？
492 ：anonymous@p3564111-ipngn20201marunouchi.tokyo.ocn.ne.jp：2017/06/04(日) 00:12:31.36 ID:???.net: >>489 とりあえず試してみます。ありがとうございます。
v6のRAは受け取っているようです。

>>490
すみません。6.3r10でした。
493 ：anonymous@103-226-44-8.ty4.wi-gate.net：2017/06/06(火) 12:21:49.10 ID:???.net: あるゾーン間で全ての通信を遮断したいのですが、ポリシーの
評価順序を私が理解できてないようでうまくいきません。

affiliateというゾーンを作って、アフィサイトのIPを登録し、
Trustからaffiliateへのポリシーを追加して通信を全てrejectに
しました。
TrustからUntrustへのポリシーより順番を上に配置したので
すが、アフィサイトへpingを打つと通ってしまいます。

何の設定が不味いのでしょうか。
494 ：anonymous：2017/06/06(火) 21:33:23.03 ID:???.net: UntrustゾーンのオブジェクトにIP登録して、Trust to Untrustルールに書いてみたら？
あと、reject より deny にすべきかと。
495 ：anonymous@p3563087-ipngn20201marunouchi.tokyo.ocn.ne.jp：2017/06/06(火) 22:04:09.77 ID:???.net: >>494 ありがとうございます。助かりました。
しかしながら、できると思っていたことができないことが判って
少々戸惑ってます。

とりあえずTrust→Untrustへのポリシーをコピーし、そこへ拒否
したいアドレスを登録、ポリシー評価の順番を変えたらpingが
タイムアウトするようになりました。

私の理解では、テレメトリ用IPや広告系IPの集合を各々ゾーンとして
登録し、Trust→それらのゾーンへ通信を遮断すればよい、と思って
いました。
ところが実際の動作をみていると、外部にある送信先によって通信を
遮断するのが目的ならば、何れもTrust to Untrustでポリシーを作らな
ければならないです。そういう理解で良いのでしょうか？
496 ：anonymous：2017/06/15(木) 20:58:26.31 ID:HnQqri5b.net: まだEOLになってないのか
しぶといな
497 ：は：2017/06/15(木) 21:53:32.83 ID:???.net: >>495
よろしくもあり、よろしくなくもある
498 ：anonymous@fusianasan：2017/12/28(木) 08:49:34.32 ID:qH5jGHED.net: 誰でも簡単にネットで稼げる方法など
参考までに、
⇒　『加藤のセセエイウノノ』というサイトで見ることができるらしいです。

グーグル検索⇒『加藤のセセエイウノノ』

K4OI9NUL78
499 ：anonymous@fusianasan：2017/12/30(土) 11:13:30.47 ID:???.net: 中古ssg5を買ってget systemしたら、OSのファイル名がscreen_osなんとかになってました。
以前はssg5ssg20.6.3r10.0みたいな名前だったのですけど、これは正しいのでしょうか？
ちなみにリビジョンの部分は6.3.0r23.0って出てます。

間違ったファームウェアが入っているので無ければ良いのですが。
500 ：anoymous：2017/12/30(土) 11:20:23.88 ID:???.net: tftp　するファイル名を変更したんじゃね？しらんけど。
501 ：anonymous@fusianasan：2017/12/31(日) 00:43:02.73 ID:???.net: >>500 レストン
動作も妙なので、いまいち釈然としません。
別のssg5で動作しているconfigを流し込んでもweb guiでアクセスできないと言うか、firefoxがssg5のHTTPSレスポンスを信用できないと弾くので困ってます。
502 ：anonymous：2017/12/31(日) 19:05:46.45 ID:09SlVAB5.net: >>501
最近のブラウザでSSGに管理アクセスするときに
SelfSignedの証明書とはまた別に、暗号化スイートだかが古くて弾かれてるだけだった気がするけど
503 ：anonymous@fusianasan：2017/12/31(日) 21:04:27.56 ID:???.net: レストン。マジですか。ガッカリですね。
帰省前にfirefoxのエラーメッセージでググったけど、juniperのフォーラムではそのものズバリって内容がヒットしなかったです。

ちなみにedgeで試したのですがfirefox同様の理由でアクセスを跳ねられてました。edgeを使って管理したことは無いのですが。
504 ：anonymous：2017/12/31(日) 23:30:43.63 ID:???.net: Cannot communicate securely with peer: no common encryption algorithm(s). エラーコード: SSL_ERROR_NO_CYPHER_OVERLAP

Firefoxのこのエラーメッセージなら
フォーラムに回答あったのでSSG5 GTで検証やってみて通ったけど

https://forums.juniper.net/t5/ScreenOS-Firewalls-NOT-SRX/ssl-error-no-cypher-overlap-when-trying-acess-to-SSG5/td-p/300865
505 ：anonymous@fusianasan：2018/01/03(水) 07:10:06.06 ID:???.net: 私が道民の家でお茶をご馳走になったときのこと
その家の42歳の息子がむずかりだした。
母親がその子を椅子の上に立たせてパンツを降ろし
牛乳の空きパックを男性器にあてがうと小便をした。
しかもあろうことか空きパックに入ったものをキッチン
の流しに捨てたのです。
その慣れた様子からも日常的にしているのでしょう。
506 ：anonymous@fusianasan：2018/01/28(日) 22:03:06.37 ID:???.net: SSG後継機にSRX300を検討中なんだが、誰かLTE使ってる人いる？
507 ：anonymous@fusianasan：2018/02/22(木) 19:56:12.90 ID:???.net: ☆ 日本の、改憲を行いましょう。現在、衆議員と参議院の
両院で、改憲議員が３分の２を超えております。
『憲法改正国民投票法』、でググってみてください。国会の発議は
すでに可能です。平和は勝ち取るものです。お願い致します。☆☆
508 ：anonymous：2018/03/04(日) 11:33:59.76 ID:???.net: >>506
FWでLTEって使う場面ある？
509 ：anonymous@fusianasan：2018/05/21(月) 18:25:16.65 ID:WI69FONG.net: ユニークで個性的な嘘みたいに金の生る木を作れる方法
興味がある人はどうぞ
グーグルで検索するといいかも『ネットで稼ぐ方法　モニアレフヌノ』

UXZSI
510 ：anonymous@fusianasan：2018/10/19(金) 17:53:14.52 ID:???.net: 　私たち日本人の、日本国憲法を改正しましょう。
総ム省の、『憲法改正國民投票法』、でググって
みてください。拡散も含め、お願い致します。
511 ：anonymous@fusianasan：2018/10/19(金) 21:45:02.58 ID:???.net: マルチポストうぜぇ。
そんなことやると逆効果だと思うけどね。

消費税の増税を強行するという愚行に及んでる政権だから憲法改正なんて無理だよ。
512 ：anonymous：2018/11/25(日) 17:12:25.85 ID:???.net: ScreenOSもいよいよ終わりかあ。
513 ：anonymous@fusianasan：2021/01/13(水) 04:06:50.27 ID:???.net: https://i.imgur.com/v3REQbj.jpg

140 KB

新着レスの表示

掲示板に戻る全部前100 次100 最新50

read.cgi ver 2014.07.20.01.SC 2014/07/20 D ★