Netscreenユーザスレ r4.0

1 ：ScreenOS：2011/03/08(火) 21:14:47.29 ID:nekgC/EP.net

無難なFWアプライアンス
いつの間にか、前スレ消えてるので、立てておくよ。

http://www.juniper.net/jp/jp/products-services/security/

その他代理店はｇｇｒｋｓ

過去スレ
Netscreenユーザスレ r3.0
http://hibari.2ch.net/test/read.cgi/network/1158592499/

Netscreenユーザスレ r2.0
http://pc8.2ch.net/test/read.cgi/network/1064890311/

Netscreenユーザスレ
http://pc.2ch.net/test/read.cgi/network/1026471990/

464 ：Anonymous：2015/08/20(木) 09:14:24.14 ID:???.net

ググりゃすぐ出てくるでしょ。

SSGでまだ販売してた機種の販売終了が案内されたから、
残ってた6.3系 も2021/1/31でEoE/EoLが決まったよ。

465 ：anonymous：2015/08/21(金) 20:20:15.81 ID:???.net

終了ば残念だけど。そもそも後継機が残念過ぎで別メーカ品へ乗り換えているユーザは多いはず。

466 ：anonymous@nttkyo046145.tkyo.nt.ngn2.ppp.infoweb.ne.jp：2015/10/20(火) 22:27:39.37 ID:t4BN0CDH.net

機種：SSG140
OS：ScreenOS 6.2.0.r6.0

192.168.0.1を必ず1.1.1.1、192.168.0.10を必ず1.1.1.10にアドレス変換をしたいのですが、
下記の設定でそのような動作になるかご教授いただけないでしょうか。
また設定に過不足があるようであれば、その内容についてもご教授いただけないでしょうか。


SSG5-> set interface ethernet0/0 dip 5 shift-from 192.168.0.1 to 1.1.1.1 1.1.1.10

set address trust host1 192.168.0.1/32
set address trust host2 192.168.0.10/32

set address trust hostR1 1.1.1.1/32
set address trust hostR1 1.1.1.10/32

（その他、ポリシー設定あり）


<<アドレス変換>>（期待値）
192.168.0.1 → 1.1.1.1
192.168.0.10 → 1.1.1.10

第4カラムが連続していれば、大丈夫そうには見えますが、
アドレスに間がある場合についてが記述がなく困っております。

また、以下のような設定は可能でしょうか。

SSG5-> set interface ethernet0/0 dip 5 shift-from 192.168.0.1 to 1.1.1.1 1.1.1.1 ←既存設定
SSG5-> set interface ethernet0/0 dip 6 shift-from 192.168.0.10 to 1.1.1.10 1.1.1.10 ←追加設定

467 ：anonymous@KD111107186159.au-net.ne.jp：2015/10/21(水) 23:02:23.37 ID:???.net

VIPじゃダメなんけ？

468 ：anonymous@nttkyo046145.tkyo.nt.ngn2.ppp.infoweb.ne.jp：2015/10/22(木) 06:18:36.05 ID:???.net

>>467
vipについては、宛先アドレス変換と認識してました。。
vipの機能を調べてみます。

もし宜しければ設定イメージを教えて頂けないでしょうか。

469 ：ano：2015/10/22(木) 08:34:35.05 ID:???.net

>>468
やりたいこと書かなきゃ設定イメージ書けんよ

470 ：anonymous@p61212-mobac01.tokyo.ocn.ne.jp：2015/10/22(木) 12:31:51.50 ID:???.net

>>469
大変失礼しました。

トラスト&#10145;アントラストの通信において 192.168.0.1/24を必ず1.1.1.1/24、192.168.0.10/24を必ず1.1.1.10/24にアドレス変換を行いたいです。
192〜はトラスト、1.1.〜はアントラストになります。
※変換前後のアドレスの紐付けをどうしても変えられない状況です。

不足な情報があれば、申し訳ないですがご指摘頂きたく。

471 ：ano：2015/10/22(木) 21:45:21.63 ID:???.net

>>470
目立か…
とりあえず、ポリシーでSNATでいいんじゃないかな
出先だから家帰ったらサンプルだせたらだすわ

472 ：anonymous@KD182250242008.au-net.ne.jp：2015/12/24(木) 18:28:20.42 ID:???.net

screenosにとんでもない脆弱性がみつかったのを確認しているか？
特定のosバージョンだとCUIでアクセスさえできれば誰でもログインできる。

473 ：anoymous：2015/12/24(木) 22:49:20.70 ID:???.net

修正版ファームウェア出たね。

474 ：anonymous：2015/12/25(金) 08:50:07.53 ID:???.net

ソースくらい貼ったれよ

脆弱性が発見されたジュニパーの「ScreenOS」にデフォルトのバックドアパスワード
http://japan.zdnet.com/article/35075323/

475 ：anoymous：2015/12/25(金) 22:53:33.99 ID:???.net

http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10713&actp=search
2015-12 Out of Cycle Security Bulletin: ScreenOS: Multiple Security issues with ScreenOS (CVE-2015-7755, CVE-2015-7756)

公式のやつ。

476 ：anonymous@86.72.239.49.rev.vmobile.jp：2016/04/16(土) 12:23:16.73 ID:???.net

基本的なことですまん
ポリシーベースとルートベースはどちらがパフォーマンスが高いですか
VPNね

477 ：anonymous：2016/04/21(木) 09:40:44.57 ID:???.net

さてISG2000も終売になっちゃったけど
後継機何にするかね

478 ：anoymous：2016/04/24(日) 01:59:31.34 ID:???.net

>>476
おなじだよ。

479 ：anonymous：2016/04/25(月) 14:52:35.27 ID:wTukt1lq.net

後継機種はfortigateになります

480 ：sage：2016/04/26(火) 15:01:37.45 ID:???.net

fortigate使いにくい

481 ：anoymous：2016/04/26(火) 18:13:12.34 ID:???.net

かと言ってSRXもクソだしなあ。
使い易いFWが無いなあ。

482 ：anonymous：2016/04/26(火) 20:10:18.61 ID:???.net

僕パロアルトオオオオオ

483 ：それは：2016/04/26(火) 23:36:58.76 ID:???.net

遅すぎなんだよおおおおお

484 ：anonymous@FL1-122-134-21-221.hkd.mesh.ad.jp：2016/06/01(水) 00:50:01.53 ID:yOEsxbU2.net

マ イ ン ド コ ン ト ロ ー ル の手法

・沢山の人が、偏った意見を一貫して支持する
　偏った意見でも、集団の中でその意見が信じられていれば、自分の考え方は間違っているのか、等と思わせる手法

・不利な質問をさせなくしたり、不利な質問には答えない、スルーする
　誰にも質問や反論をさせないことにより、誰もが皆、疑いなど無いんだと信じ込ませる手法

偏った思想や考え方に染まっていたり、常識が通じない人間は、頭が悪いフリをしているカルト工作員の可能性が高い

靖 国 参 拝、皇 族、国 旗 国 歌、神 社 神 道を嫌う カ ル ト

10人に一人は カ ル ト か 外 国 人

「ガ ス ラ イ テ ィ ン グ」 で 検 索 を ！

485 ：anonymous：2016/06/06(月) 21:07:55.01 ID:ugyF/PDF.net

色々使ってきたが、Screenosがやっぱ一番だわ。
もう開発者残ってないんかな。

486 ：anonymous：2016/08/10(水) 09:55:31.68 ID:???.net

>>485
俺もそう思う
勿体ないよなあ

487 ：anonymous：2016/09/22(木) 00:29:30.74 ID:jdkolcKBm

Juniperサイトで新規にアカウントを作ろうとしたが
5GTのシリアル入れても Invalid になる
もうScreenOSダウンロードできないのか・・・

488 ：anonymous@ 240f:78:f04:1:1868:8366:4443:714b：2016/11/16(水) 05:33:57.14 ID:nTdBCqbii

無料風評被害対策のブッダワークス
http://www.buddha-works.net

489 ：anonymous@103-226-44-4.ty4.wi-gate.net：2017/06/02(金) 12:32:15.88 ID:???.net

screenos6.2において、1つの物理インタフェースにIPv4とIPv6の二つの
PPPoEクライアントを割り当て、各々IPアドレスを受け取ることは出来
たでしょうか？

ssg5で実際にやろうとすると、2つめのPPPoEにインタフェースを割り当てる
段階で、1つめのインタフェースがプルダウンメニューに無いので選択できない
のです。

繋げたいプロバイダはフレッツなのですが、necのwg1800hp2だとこう言う
芸当が簡単にできるのに、SSG5だと上手くいかないので困っています。

490 ：anonymous：2017/06/02(金) 17:34:17.88 ID:???.net

Sub-IFを作ってe0/0.1でPPPoEするとか
IPv6に対応してるかどうかはわからんけど

491 ：sage：2017/06/02(金) 19:44:01.18 ID:???.net

>>489
とりえあず、サポート終わってる6.2なんか使わず6.3にすれば？

492 ：anonymous@p3564111-ipngn20201marunouchi.tokyo.ocn.ne.jp：2017/06/04(日) 00:12:31.36 ID:???.net

>>489 とりあえず試してみます。ありがとうございます。
v6のRAは受け取っているようです。

>>490
すみません。6.3r10でした。

493 ：anonymous@103-226-44-8.ty4.wi-gate.net：2017/06/06(火) 12:21:49.10 ID:???.net

あるゾーン間で全ての通信を遮断したいのですが、ポリシーの
評価順序を私が理解できてないようでうまくいきません。

affiliateというゾーンを作って、アフィサイトのIPを登録し、
Trustからaffiliateへのポリシーを追加して通信を全てrejectに
しました。
TrustからUntrustへのポリシーより順番を上に配置したので
すが、アフィサイトへpingを打つと通ってしまいます。

何の設定が不味いのでしょうか。

494 ：anonymous：2017/06/06(火) 21:33:23.03 ID:???.net

UntrustゾーンのオブジェクトにIP登録して、Trust to Untrustルールに書いてみたら？
あと、reject より deny にすべきかと。

495 ：anonymous@p3563087-ipngn20201marunouchi.tokyo.ocn.ne.jp：2017/06/06(火) 22:04:09.77 ID:???.net

>>494 ありがとうございます。助かりました。
しかしながら、できると思っていたことができないことが判って
少々戸惑ってます。

とりあえずTrust→Untrustへのポリシーをコピーし、そこへ拒否
したいアドレスを登録、ポリシー評価の順番を変えたらpingが
タイムアウトするようになりました。

私の理解では、テレメトリ用IPや広告系IPの集合を各々ゾーンとして
登録し、Trust→それらのゾーンへ通信を遮断すればよい、と思って
いました。
ところが実際の動作をみていると、外部にある送信先によって通信を
遮断するのが目的ならば、何れもTrust to Untrustでポリシーを作らな
ければならないです。そういう理解で良いのでしょうか？

496 ：anonymous：2017/06/15(木) 20:58:26.31 ID:HnQqri5b.net

まだEOLになってないのか
しぶといな

497 ：は：2017/06/15(木) 21:53:32.83 ID:???.net

>>495
よろしくもあり、よろしくなくもある

498 ：anonymous@fusianasan：2017/12/28(木) 08:49:34.32 ID:qH5jGHED.net

誰でも簡単にネットで稼げる方法など
参考までに、
⇒　『加藤のセセエイウノノ』 というサイトで見ることができるらしいです。

グーグル検索⇒『加藤のセセエイウノノ』

K4OI9NUL78

499 ：anonymous@fusianasan：2017/12/30(土) 11:13:30.47 ID:???.net

中古ssg5を買ってget systemしたら、OSのファイル名がscreen_osなんとかになってました。
以前はssg5ssg20.6.3r10.0みたいな名前だったのですけど、これは正しいのでしょうか？
ちなみにリビジョンの部分は6.3.0r23.0って出てます。

間違ったファームウェアが入っているので無ければ良いのですが。

500 ：anoymous：2017/12/30(土) 11:20:23.88 ID:???.net

tftp　するファイル名を変更したんじゃね？しらんけど。

501 ：anonymous@fusianasan：2017/12/31(日) 00:43:02.73 ID:???.net

>>500 レストン
動作も妙なので、いまいち釈然としません。
別のssg5で動作しているconfigを流し込んでもweb guiでアクセスできないと言うか、firefoxがssg5のHTTPSレスポンスを信用できないと弾くので困ってます。

502 ：anonymous：2017/12/31(日) 19:05:46.45 ID:09SlVAB5.net

>>501
最近のブラウザでSSGに管理アクセスするときに
SelfSignedの証明書とはまた別に、暗号化スイートだかが古くて弾かれてるだけだった気がするけど

503 ：anonymous@fusianasan：2017/12/31(日) 21:04:27.56 ID:???.net

レストン。マジですか。ガッカリですね。
帰省前にfirefoxのエラーメッセージでググったけど、juniperのフォーラムではそのものズバリって内容がヒットしなかったです。

ちなみにedgeで試したのですがfirefox同様の理由でアクセスを跳ねられてました。edgeを使って管理したことは無いのですが。

504 ：anonymous：2017/12/31(日) 23:30:43.63 ID:???.net

Cannot communicate securely with peer: no common encryption algorithm(s). エラーコード: SSL_ERROR_NO_CYPHER_OVERLAP

Firefoxのこのエラーメッセージなら
フォーラムに回答あったのでSSG5 GTで検証やってみて通ったけど

https://forums.juniper.net/t5/ScreenOS-Firewalls-NOT-SRX/ssl-error-no-cypher-overlap-when-trying-acess-to-SSG5/td-p/300865

505 ：anonymous@fusianasan：2018/01/03(水) 07:10:06.06 ID:???.net

私が道民の家でお茶をご馳走になったときのこと
その家の42歳の息子がむずかりだした。
母親がその子を椅子の上に立たせてパンツを降ろし
牛乳の空きパックを男性器にあてがうと小便をした。
しかもあろうことか空きパックに入ったものをキッチン
の流しに捨てたのです。
その慣れた様子からも日常的にしているのでしょう。

506 ：anonymous@fusianasan：2018/01/28(日) 22:03:06.37 ID:???.net

SSG後継機にSRX300を検討中なんだが、誰かLTE使ってる人いる？

507 ：anonymous@fusianasan：2018/02/22(木) 19:56:12.90 ID:???.net

☆ 日本の、改憲を行いましょう。現在、衆議員と参議院の
両院で、改憲議員が３分の２を超えております。
『憲法改正国民投票法』、でググってみてください。国会の発議は
すでに可能です。平和は勝ち取るものです。お願い致します。☆☆

508 ：anonymous：2018/03/04(日) 11:33:59.76 ID:???.net

>>506
FWでLTEって使う場面ある？

509 ：anonymous@fusianasan：2018/05/21(月) 18:25:16.65 ID:WI69FONG.net

ユニークで個性的な嘘みたいに金の生る木を作れる方法
興味がある人はどうぞ
グーグルで検索するといいかも『ネットで稼ぐ方法　モニアレフヌノ』

UXZSI

510 ：anonymous@fusianasan：2018/10/19(金) 17:53:14.52 ID:???.net

　私たち日本人の、日本国憲法を改正しましょう。
総ム省の、『憲法改正國民投票法』、でググって
みてください。拡散も含め、お願い致します。

511 ：anonymous@fusianasan：2018/10/19(金) 21:45:02.58 ID:???.net

マルチポストうぜぇ。
そんなことやると逆効果だと思うけどね。

消費税の増税を強行するという愚行に及んでる政権だから憲法改正なんて無理だよ。

512 ：anonymous：2018/11/25(日) 17:12:25.85 ID:???.net

ScreenOSもいよいよ終わりかあ。

513 ：anonymous@fusianasan：2021/01/13(水) 04:06:50.27 ID:???.net

https://i.imgur.com/v3REQbj.jpg