■ このスレッドは過去ログ倉庫に格納されています
Netscreenユーザスレ r4.0
- 301 :anonymous@uss.sc-idc.net:2013/07/04(木) NY:AN:NY.AN ID:???.net
- ある客から、LAN側からWebUIを開こうとすると超遅いって言われてるんだけど
そんな事例ある?
遠方で確認しにいけないんだけど、リモートで見る限り全く問題なく速いんだよな
- 302 :ななし:2013/07/04(木) NY:AN:NY.AN ID:???.net
- >>301
ブラウザの違いかもね。
VPN使ってるなら変な拠点折り返してるとか。
- 303 :anonymous:2013/07/04(木) NY:AN:NY.AN ID:???.net
- やっぱそのへんだよなあ。
ブラウザ変えてみてもらおう。
どうもありがと。
- 304 :anonymous:2013/08/21(水) NY:AN:NY.AN ID:psrRFEl8.net
- Netscreen 5GT後継何がいいですかねぇ……。
- 305 :anonymous:2013/08/21(水) NY:AN:NY.AN ID:???.net
- (SSG5では)いかんのか?
- 306 :ななし:2013/08/22(木) NY:AN:NY.AN ID:???.net
- >>304
fortigate
- 307 :anonymous@36.3.108.246:2013/09/11(水) 23:34:15.21 ID:fM2QoVMN.net
- 助けてください。
ケーブルテレビのインターネットでSRX繋いでネットしようと思っています。
SRX100のUntrust(fe-0/0/0)でDHCPクライアントを有効にしても
ケーブルモデムからIPアドレスを取ってきません。
Policy設定とか必要なのでしょうか。
よろしくお願いします。
- 308 :anonymous:2013/09/13(金) 22:57:23.76 ID:???.net
- ここはJunos製品のスレではないぞw
- 309 :anonymous:2013/10/15(火) 09:15:04.51 ID:???.net
- http://www.juniper.net/support/eol/screenos.html
- 310 :anony:2013/10/15(火) 22:55:38.92 ID:???.net
- 一瞬心配したけど、もう終わってたわ
問題ない
- 311 :anonymous:2013/10/18(金) 00:25:01.94 ID:???.net
- 6.3はまた随分延びたねぇ
- 312 :SSG5:2013/11/02(土) 20:37:52.83 ID:???.net
- SSG5をかなり安価でGetしたまではよいのだけど、設定にはまっていますorz
PPPoEの動的IPからTrustに向けて内側にMIP設定する場合って
どうすれば良いのでしょうか。
PPPoEで貰ったIPをPolicy Elements のaddless listに固定で登録してしまうと、
次アドレスが変わると通信できなくなるし...
- 313 :anonym:2013/11/02(土) 21:52:20.88 ID:???.net
- VIPでなくて?
- 314 :anonymous:2013/11/02(土) 22:41:09.32 ID:???.net
- つーか何でPPPoE側からの通信があんだよ
- 315 :312:2013/11/03(日) 09:18:46.96 ID:???.net
- >313
すいません。312からしばらくいじったらVIPでした...orz
>>314
自宅のglobalは動的ipでして....
といいつつ外からのNATは上手くいったものの、
FTP over TSLの通信がうまくいかず困っていたら...
kb.juniper.net/InfoCenter/index?page=content&id=KB3419&pmv=print
!!!!orz
どなたか良い知恵お持ち方拝借させてください...
- 316 :anonymous:2013/11/03(日) 10:26:44.22 ID:???.net
- >>315
FTPが必須じゃなけりゃscpで取ればいいだろ
公開鍵は鯖側で事前に用意しろ
> set ssh version v2
> set ssh enable
> set ssh pka-dsa user-name [user] key [key]
> exec ssh tftp pka-dsa user-name [user] file-name [filename] ip-addr [address]
確かこんな感じで行ける
- 317 :anonymous:2013/11/03(日) 16:58:21.63 ID:???.net
- パッシブFTPの場合、データ転送ポートはランダムに選ばれるわけで
FWはパケットの中身をみて接続要求のあったポートを空けるわけだが、
暗号化されている場合FWはそのポート番号を知る術が無い。
KBのソリューションに書いてあるとおり、サーバ側のデータ転送に使用されるポート範囲を制限して
そのポート範囲のカスタムサービスを作成してそれを許可してやる必要がある。
- 318 :312:2013/11/05(火) 21:40:16.72 ID:???.net
- >>316
Windowsで良さげなscpクライアントはいませんかね...
>>317
サーバー側のデータ転送に使用しているポート範囲を制限して、
そのポート範囲のカスタムサービスは作ったのですが、
どうにもデータポートOpen以降が通らなくて....
コントロールポートもwellknown開けると危ないから、
ハイポート(1024以上)で一つ開けているのですが。
この場合ApplicationはFTP指定ではなくて良いのでしょうか...
- 319 :どんなのがあるんだろう?:2013/11/05(火) 22:57:48.83 ID:???.net
- WinSCP以外の鉄板なんて有るんか?
有るなら俺も知りたい
- 320 :319:2013/11/05(火) 22:59:53.24 ID:???.net
- すいません。
Win関連板と勘違いしてましたorz
無視して下さいマシ。
- 321 :anonymous@ab144039.dynamic.ppp.asahi-net.or.jp:2013/11/08(金) 05:58:34.96 ID:???.net
- netscreen-50をscreenos 5.0で使っています。
もう一台netscreen-50を入手し、screenos 5.0から5.4に移行しようとしています。
設定をエクスポートして、インポートしたのではスタティックルーティングがうまくいきません。
5.4から機能追加された、PBR(Policy-Based Routing)の設定が必須なのでしょうか。
よろしくお願いします。
- 322 :あのに:2013/11/08(金) 19:08:00.57 ID:???.net
- 設定内容しらんがPBR使わんでもスタティックは動く
- 323 :Anonymous:2013/11/09(土) 03:14:50.25 ID:???.net
- 5.0はスタティックルートはVR内で設定するんじゃなかったっけ?
5.4ぐらい?からはグローバルで設定できるようになってる。
5.0から直接5.4にはアップデートできないから
5.0→5.3→5.4ってパスになるんじゃね?
- 324 :Anonymous:2013/11/09(土) 03:25:38.04 ID:???.net
- とおもったが単なる思い違いだった、、。
- 325 :anonymous@ab144039.dynamic.ppp.asahi-net.or.jp:2013/11/09(土) 21:05:50.40 ID:???.net
- ども>>320です。
そうですかぁ。
PINGは通るので、悩んでます。
- 326 :anonymous@ab144039.dynamic.ppp.asahi-net.or.jp:2013/11/09(土) 21:06:31.57 ID:???.net
- すみません。>>321でした。。
- 327 :あのに:2013/11/10(日) 13:27:53.11 ID:???.net
- >>326
3wayは大丈夫か?
その辺でデフォルト変わってた気がするが
- 328 :anon:2013/11/10(日) 16:42:43.79 ID:???.net
- コンフィグがうまく入っていない可能性は?
元々のコンフィグとインポート後のコンフィグでDIFFとって見るのも手
- 329 :Anonymous:2013/11/12(火) 22:31:46.60 ID:???.net
- >>325
PINGは通ってるならルーティングできているのでは?
他のサービスが通らないっていう話でしょか?
- 330 :anonymous@ab138123.dynamic.ppp.asahi-net.or.jp:2013/11/17(日) 00:24:22.57 ID:???.net
- 皆さんありがとうございます。>>321です。
行きはNSを通らず帰りだけNSのルーティングを使う構成になっています。
仰る通り、flow no-tcp-seq-checkが原因のようでした。
screenos5.0までは、set flow no-tcp-seq-checkがデフォルトで、
screenos5.1以降は、unset flow no-tcp-seq-checkがデフォルトのようです。
また、設定ファイルを読み込む時に、margeするとチェックが有効になり、
replaceするとチェックが無効になるようです。
ありがとうございました。
- 331 :ano:2013/12/05(木) 00:48:09.43 ID:???.net
- juniperのアカウントは製品買わないと登録できないでしょうか?
- 332 :anonymous@ab155007.dynamic.ppp.asahi-net.or.jp:2013/12/05(木) 05:26:33.18 ID:???.net
- シリアル番号を入力した覚えがあります。
- 333 :ano:2013/12/06(金) 00:37:58.85 ID:???.net
- >>332
ありがとうございます。
guest という項目があったので登録してみたのですが、
missing〜というメールがきて登録に失敗したようでした。
やはりシリアルがないとだめなのかもしれませんね。
中古で買うにしても、前所有者が登録していた場合
エラーになりそうで踏み切れずにおります。。
- 334 :anonymous:2013/12/06(金) 21:41:56.40 ID:???.net
- とっくにEOLだった中古の5xpのシリアルで
普通に登録できてSSGのまで落としてるけど
- 335 :ano:2013/12/07(土) 13:44:05.60 ID:???.net
- >>334
まじですか。
5xtだけでなくSSGまで落とせるとは、結構そのあたりのポリシーは
ゆるいんでしょうか。
(というよりもOSがいくらダウンロードされようが、メーカに不都合があまりないからかもしれませんが)
- 336 :Anonymous:2013/12/07(土) 16:34:41.48 ID:???.net
- >>335
firmwareだけじゃ、動かないからね。
ノンサポだからアップデートに失敗しても自己責任だし。
- 337 :anonymous@ngn-west-138-103-139-153.enjoy.ne.jp:2013/12/07(土) 23:51:50.63 ID:???.net
- Netscreenで、DMZゾーンを2種類。Trustゾーンを2種類作成し
それぞれのゾーン通信も制限したいと思ってるけど
どんな方法で行うのがよいでしょうか?
- 338 :あのに:2013/12/08(日) 02:27:02.83 ID:???.net
- ポリシーでやればいいべ
- 339 :anonymous@ngn-west-138-103-139-153.enjoy.ne.jp:2013/12/08(日) 23:48:35.73 ID:???.net
- ポリシーでDMZからDMZの通信制限できるの?
- 340 :Anonymous:2013/12/08(日) 23:57:52.36 ID:???.net
- 要は4種類のゾーン間の通信制御たろ?
できるじゃねぇか。
- 341 :anonymous:2013/12/09(月) 00:48:34.76 ID:???.net
- ポリシーってデフォルトでTrustとかDMZとかついてるけど、
わかりやすくしてるだけで使い方は自由っていう認識で合ってる?
(初期でPingが有効になってたり微妙な違いはあると思うけど)
- 342 :あのに:2013/12/09(月) 03:52:50.34 ID:???.net
- from-zone DMZ1 to-zone DMZ2 any deny log
少しは調べることを覚えたほうがいい
- 343 :アノニマス:2014/01/18(土) 11:59:32.69 ID:???.net
- 風の噂で、SSGってもう5年ライセンス購入できない(=サポート出来ない?)と
聞いたんだが、マジ?
いよいよJunos覚えないかんのか・・・?
- 344 :anonymous:2014/01/18(土) 18:09:23.04 ID:???.net
- 販売店に聞けよ。
それ以前にJUNOS製品に乗換えるなら、別に他社製品でもいいような気がするけどな。
- 345 :sage:2014/01/27(月) 22:28:52.04 ID:???.net
- そろそろSSGの代わりは決まりましたか?> /home/usr/all?
- 346 :anonymous@p2-user: 1014728 p2-client-ip: 49.98.151.169:2014/01/28(火) 06:41:37.69 ID:???.net
- >>345
SRX
はないか
- 347 :anonymous:2014/01/28(火) 21:35:37.90 ID:???.net
- 同じくASIC製品ということで、FortiGate?
- 348 :ななし:2014/01/29(水) 07:31:35.92 ID:???.net
- >>347
だね。元々netscreenから派生した?会社だしね。
- 349 :anonymous:2014/01/30(木) 01:44:42.55 ID:WUnKBJtm.net
- ScreenOS使わない商品買うくらいなら他社にいくよね?
- 350 :anonymous:2014/03/10(月) 07:31:56.07 ID:???.net
- 結局、ScreenOS使った機器の今後はどうなるんだろう?
いい加減初期にSSG買った客のリプレース時期なんだが。
- 351 :anonymous@140.208.138.210.vmobile.jp:2014/03/13(木) 13:48:37.86 ID:???.net
- おいら一生netscreen50でいくよ
中古でもう一台買ってHAするんだ
- 352 :anonymous:2014/03/13(木) 19:46:16.60 ID:???.net
- EOL終了後に致命的なセキュリティホールが見つかったらオワコンだろw
自宅にある208もどうしてくれようかな。
- 353 :anonymous:2014/03/16(日) 16:16:25.90 ID:???.net
- ギガビット対応してないけど、どうせ外部と通信してたらどっかで
速度落ちるし全然問題ないもんな。
問題あるとしたらセキュリティホールぐらいしか思いつかん。
- 354 :anonymous:2014/03/16(日) 22:29:39.60 ID:???.net
- >>350
今なら、もう1回SSG行けんじゃね?同機種更新で事足りるなら。
上の方でも出てたが、Junos6.3のEoL/EoS、2019/12/31まで延長されてっから。
今からなら、5年リースで、もう1サイクル回せるぜ。
その先は・・・神のみぞ知る。
- 355 :anonymous:2014/03/17(月) 09:31:45.44 ID:???.net
- Junos6.3?ScreenOS6.3じゃなくて?
- 356 :anonymous@h219-110-205-225.catv02.itscom.jp:2014/03/29(土) 23:19:02.19 ID:???.net
- さり気無くjunosに誘導してるな
- 357 :anonymous:2014/03/30(日) 14:11:16.45 ID:xl1JNa0n.net
- ScreenOSじゃないNetscreenなんて要りません
そんなの使うくらいなら他社のFWアプライアンス使うわ
- 358 :anonymous:2014/04/01(火) 22:09:18.34 ID:???.net
- Junosって実際のところ使いにくい?
- 359 :anonymous:2014/04/04(金) 12:57:24.60 ID:tC1EiEj3.net
- 客「缶切りを1つください」
Juniper「はい、十徳ナイフをどうぞ」
こんな感じ
- 360 :anonymous@softbank221094115231.bbtec.net:2014/04/05(土) 15:47:07.07 ID:qZAyZsAZ.net
- 電話屋じゃないけどすみません教えて下さい。
ローゼット内のL1と2端子のとこにマイナスドライバー
あててるのを見たけど、一瞬パチって音がした。
あれって直流50Vなのに、ショートして壊れないのか?
- 361 :ななし:2014/04/05(土) 20:22:48.71 ID:???.net
- >>360
線路長があるし電流自体もそんなに流れないようになってる。
まあパチパチ何回もやってるとNTTから電話かかってくるぞ。
- 362 :anonyumous:2014/04/06(日) 21:23:07.36 ID:???.net
- >>359
色々できるのかもしれんが使いずれーよって感じか。
- 363 :anonymous@k184164.ppp.asahi-net.or.jp:2014/04/06(日) 21:30:24.91 ID:???.net
- 客「缶切りを1つください」
Juniper「(無造作に道具類が放り込まれた箱を差し出して)こんなかからテキトーに探して」
こうじゃないか
- 364 :anonymous:2014/04/06(日) 23:42:39.28 ID:???.net
- 後継と呼ばれる製品は扱ったことあるが、使い易いとは御世辞でも言えん製品だったな。残念だけど、まだFortigateの方が許容出来るわ。
- 365 :anonymous:2014/05/04(日) 18:15:33.33 ID:???.net
- 十分に枯れきってる安心感から、まだ提案時には候補に入れてます
IDS(P)があると他プロダクトに座を譲ることになるけれど。
EOS考えるとあと2年が限度かな
- 366 :anonymous:2014/05/04(日) 20:43:06.43 ID:???.net
- DIでは代替提案には難しいのかな。
ScreenOS終わったらショックだなあ。
- 367 :anonymous:2014/05/13(火) 03:12:39.26 ID:???.net
- 完全に終わったら、オープンソース化希望
- 368 :ななし:2014/06/03(火) 06:41:01.81 ID:???.net
- バイト先で、使わなくなったNetScreen-5XTを貰ってきたんですけど、これって、PeerBlock(Windowsの
ソフトです)みたいに、食わせたIP一覧を元にして遮断したり通したりすることって出来ますか?日本以
外のIPを全部弾くといったような使い方です。
それにしてもこれ、めちゃくちゃ熱を持つんですね。怖いくらい。
- 369 :anonymous@120.125.214.202.vmobile.jp:2014/06/10(火) 03:06:23.25 ID:???.net
- 年内いっぱい終わりだってさ。
- 370 :anonymous@kav03.raidthink.com:2014/06/10(火) 09:33:23.85 ID:???.net
- >>369
何が?
- 371 :anonymous:2014/06/15(日) 01:34:38.64 ID:???.net
- SSG5をFWとして使っているのだけどUntrust側にルータがありそこからインターネットに接続している
その上でUntrust側にあるPCやスマホのインターネットへのアクセス制御をするためにあえてSSGをゲートウェイにし
Untrust上にあるルータにスタティックでルーティングしてネットに出すようにしているのだけど
そのUntrust上のスマホからのLINEによる通信が異常に遅いんだけど理由分かる人いる?
通信できないわけじゃなく劇的に遅い。
ちなみにゲートウェイをルータに直接張った場合はやたら早いので回線やルータのせいではないし
ポリシーも全通しで設定して試しているけどそれで遅い。
ログ見ても特に何かをDenyしている事はない。通信としてはhttp/httpsと5228しか発生していないようだし
それは通過しているので原因がつかめない・・・
- 372 :372:2014/06/15(日) 01:38:02.64 ID:???.net
- ちなみに同じくUntrust側においてある通常のPCからの通信は特に何か他が遅いということはないようだ。
スマホからのLINE以外の通信も特に遅いと感じたことはないんだよなぁ。
- 373 :anonyumous:2014/06/15(日) 02:10:24.01 ID:???.net
- スマホをTrust側においたらどうなる?
LINEだけってことはアプリケーションレベルの話でどうしようもないかも。
- 374 :372:2014/06/15(日) 04:44:32.25 ID:???.net
- >>373
Trust側には無線がないからスマホではチェック出来ないんだよね
PCのLINEアプリはTrustのPCでチェックしたけど遅くならない
アプリケーションレベルの問題だとしたらSSGを通さないでルータをゲートウェイにした時は
この問題が起こらないのも理由が分からんのよね
もしかしたらLINE以外でも遅いことがあるのかもしれないが他のスマホアプリはそもそもが
速度が明確に分かるような使い方してないってのもあるのかも。
ブラウザでウェブ見るのは普通に早い気はする。
- 375 :372:2014/06/15(日) 04:47:05.13 ID:???.net
- やはり今チェックしてみたがブラウザも早いし2chも早い。
LINEだけがやたら遅い。←マークがなくなるまで10秒ぐらいかかる時がある
さらに問題をややこしくしているのはたまに普通に早い時があるんだよ
ログでは特に早い時と遅い時で何か違いがあるようには見えないんだよなぁ。
- 376 :anonymous:2014/06/15(日) 07:01:29.33 ID:???.net
- Untrust側にルータって所謂Wi-Fi付のブロードバンドルータのこと?
(グローバル)
│
[ルータ]
│
├[PC1][スマホ]
│
[SSG5]
│
┴─[PC2]
どういうポリシー切ってるのか知らんけど、普通にルータとSSG逆にしたらよくね?
プライベートNWのセグメント分けたいならSSG配下で分けられるし。
- 377 :anon:2014/06/15(日) 17:34:01.49 ID:???.net
- http://www.juniper.net/jp/jp/dm/branch-srx-campaign/
- 378 :372:2014/06/15(日) 22:19:47.33 ID:???.net
- >>376
構成はまさにその通りの構成なんだけど入れ替えは出来ないんだ
理由としてはSSG5の周辺にはDMZも作っていて有線接続のサーバがたくさん配置されてあるんだが
ルータ及びONUのそばにはそれを設置するスペースが無いためSSGにイーサネットコンバータで
無線ルータとONUがある場所に無線でUntrustの通信を飛ばしている
回線の口がそのスペースがない場所にしかないため仕方なくそういう構成になっている
- 379 :Anonymous:2014/06/16(月) 04:19:35.02 ID:???.net
- なんという苦肉の策、、
物理もそうだが、どういうルーティングになってるんだ。。
VLAN切れるスイッチを用意してグローバルNWとルータのLAN側NWを別VLAN割り当てて繋いで
Trunkに設定したポートをアドホックで繋げられるイーサネットコンバータでSSGに接続
SSG側接続ポートでSub-IF作ってVLAN-ID指定してグローバルとルータのLAN側のIPを設定したら
論理的にはキレイになるかも・・・。
- 380 :372:2014/06/18(水) 23:15:40.61 ID:???.net
- >>379
返事が遅れてスイマセン。
構成としては
[VDSLモデム]→インターネット
│
[無線ルータ]
│(無線)
├[PC1(無線LAN)][スマホ]
│(無線)
[イーサネットコンバータ]
untrust
[SSG5]ーDMZー[SV1(有線)][SV2(有線)][SV3(有線)]
│
trust
┴─[PC2(有線)][PC3(有線)]
のような構成になってます。ルーティングは至極簡単で無線ルータが192.168.0.0にスタティックで
SSG5のuntrustインタフェースにしているだけです。
なのでPC1やスマホは無線ルータで無線を受けたあとDHCPでSSG5からIPを払いだしてもらう形になっています。
払い出すIPはUntrust側のセグメントアドレスでデフォゲをSSG5のインタフェースに張っており
SSG5はデフォルトルートで無線ルータのLAN側インタフェースを張っている。
見て頂ければ分かる通り無線ルータインターネット側のインタフェースはPPPoEで接続しているため
グローバル側にVLANを持たせて回すようなやり方は出来ない。
なぜ通信が無駄に遅いのかは理解できないんだよなぁ・・・
- 381 :anonymous@k184164.ppp.asahi-net.or.jp:2014/06/19(木) 00:17:54.40 ID:???.net
- この構成だと、ポリシーや設定によってはicmpが破棄されるかも
icmp通らないとpath mtu discoveryできなくなるから注意
- 382 :anonym:2014/06/19(木) 01:55:59.45 ID:???.net
- http://www.atmarkit.co.jp/fwin2k/win2ktips/613icmpredir/icmpredir.html
http://networksecurity.cocolog-nifty.com/blog/2007/02/netscreenicmp_a4f9.html
まぁなんにしてもScreenOSには非推奨な構成です。
何が起こっているのか見るのにdebug使ってみるのも手だね。
ちなみにPPPoEはL2上のプロトコルなのでVLANでカプセル化できます。
- 383 :372:2014/06/19(木) 04:52:17.21 ID:???.net
- >>381
ポリシーは一応全通しにしてあるんだけど今見たらインタフェースのpath mtuにチェックが入っていないので
それが原因の可能性もある?
- 384 :372:2014/06/19(木) 05:05:26.85 ID:???.net
- 今試してみたけど関係なかった
しかしどの辺が非推奨な設定なのかが分からない
まぁUntrustでのIntra-zone policyになってる事自体があまり綺麗とは言えないというか
同一セグメント上の別の機器にルーティングしてる時点でおかしな構成ではあるのだが
SSG通さないと通信の制御が出来ないから仕方なく・・・
- 385 :anonymous@k184164.ppp.asahi-net.or.jp:2014/06/19(木) 09:17:08.10 ID:???.net
- あと unset flow tcp-syn-check いれてみるとか
- 386 :372:2014/06/19(木) 09:36:41.27 ID:???.net
- >>385
今ソレやってみたらスムーズに通信が流れてるというか反応が早い。
もしかしたらこれが原因かもしれない。少し様子見してから判断にはなるけど
解決が見えてきたかも。マジでありがとう。詳しい人がいてくれて助かったよ!
- 387 :372:2014/06/19(木) 09:46:38.41 ID:???.net
- unset flow tcp-syn-checkについて色々調べて分かったんだけどまさに
これが原因としか思えない内容があちこちに書いてある
SSGが導入されたネットワークにおいてGatewayが2つあり、SSGをデフォルトゲートウェイにしている場合、
SSG以外のGatewayの向こうにあるネットワークにアクセスする場面においてパケットがタイムアウトする、と
不可解なところは、最初はパケットのやり取りには問題ないところで、ある程度時間が
経過すると、現象が発生します。とも書いてあるんだがまさにこれ!
しばらく様子見してみるけど事象があまりにもそれっぽいのでこれに間違いはなさそうな気配
- 388 :anonymous:2014/06/19(木) 11:00:00.92 ID:???.net
- 長文だったんで読んでなかったんだけどそれが原因で悩んでたんか。気がつかずに済まん。
俺が設定する場合にはもう次の3行はデフォルトで設定するようにしてる。
当然、場合によってはやっちゃダメな場合もあるからそれは考慮してくだされ。
unset flow no-tcp-seq-check → set flow no-tcp-seq-check
set flow tcp-syn-check → unset flow tcp-syn-check
set flow path-mtu 追加
- 389 :anonyumous:2014/06/20(金) 00:22:07.61 ID:???.net
- それが原因だったかあ、現象がLINEだけっていうのが気になって
そこにたどり着かなかった。
- 390 :372:2014/06/20(金) 02:24:44.56 ID:???.net
- 半日以上様子見してるけど安定的にいけてるっぽい
現象は実際はLINE以外でも発生していたのかも知れんが再送の場合通したりしてしまうため
LINEの←マーク以外は明確に目について速度差を感じ取れなかったってのもあるかも
他の通信はちょっと遅いかな?とか思ってももともとそんなクソ早いとも限らない通信でもあるからね
ちなみにset flow no-tcp-seq-checkは一緒にやったけどset flow path-mtuはインタフェース設定の
チェックとどう違うのかイマイチ分からんので入れていない
- 391 :anonymous@251.208.138.210.vmobile.jp:2014/06/21(土) 15:34:38.29 ID:???.net
- 行きと帰りの経路が違う場合に有効なのよね。
- 392 :anonymous:2014/06/21(土) 19:03:14.57 ID:???.net
- ここの中の人。スキル高そう。
- 393 :anonyumous:2014/06/21(土) 20:48:48.04 ID:???.net
- 書き込みは少ないけど良スレだよねw
- 394 :anonymous:2014/06/23(月) 07:43:49.50 ID:85+qnf+B.net
- あとはJuniperがScreenOS続けます宣言すればいい
EOLとかいやだ
- 395 :anonyumous:2014/06/23(月) 22:29:33.34 ID:???.net
- ガチで辞めるメリットないもんな。
- 396 :あのに:2014/06/24(火) 02:00:10.23 ID:???.net
- >>390
SSGからみてsynは通ったけどsyn-ackは見てない
でも、ack出てってる
おかしくね?で遮断
3wayの流れをトレースしてみて、それなら確定でいいよ
- 397 :anonymous@147.208.138.210.vmobile.jp:2014/06/25(水) 18:32:33.27 ID:???.net
- PPPoE接続してるNS50にHA設定したら、再起動すべきですか。
- 398 :anonyumous:2014/06/25(水) 22:31:57.70 ID:???.net
- 再起動は要らなかったと思う。曖昧な記憶だけど。
- 399 :anonymous:2014/06/26(木) 03:23:53.93 ID:???.net
- >>396
set flow no-tcp-seq-checkってそういう通信を遮断しないって意味の設定なの?
- 400 :anonymous:2014/06/26(木) 05:02:06.77 ID:???.net
- SSG5程度の大きさでGigaポート備えたScreenOSのFWが欲しいと思ってる人多そう
俺のことだけど
- 401 :Anonymous:2014/06/26(木) 09:08:45.28 ID:???.net
- >>400
SRX100の下にってことかい?
でももうScreenOSは出さないって言ってたぞ。
- 402 :anonymous:2014/06/26(木) 17:40:16.89 ID:???.net
- なんか終わるのが正式に決まったって話だな
- 403 :aaa:2014/06/26(木) 17:55:55.21 ID:???.net
- これは良いスレだ!
- 404 :anonyumous:2014/06/26(木) 19:58:59.59 ID:???.net
- >>400
まさに俺もだわ。
結構売れると思うんだけどな。
SRX100ってギガ対応してたっけ?
- 405 :anonymous:2014/06/26(木) 20:20:15.39 ID:???.net
- SRX 高いよ。。。。
- 406 :anonymous:2014/06/26(木) 22:42:35.49 ID:???.net
- 高い安い以前にJUNOSの使いにくさときたら・・・
アレ使うぐらいならFortiのがマシ
- 407 :あのに:2014/06/27(金) 02:38:54.20 ID:???.net
- >>399
それはシーケンスを見るか見ないかだったかと
tcp-syn-checkでsyn,syn-ack,ackのチェックをするかしないか
- 408 :anonymous:2014/06/27(金) 19:53:51.12 ID:???.net
- >>407
unset flow tcp-syn-checkの方か
行きの経路と帰りの経路が違う場合は3wayの仕組みで言うと
synが来てsyn-ackが来ないままackが来る状態にSSGからは見えてしまうってところは分かるが
なぜ出来たり出来なかったりするんだろうなぁ。
- 409 :anonymous@k184164.ppp.asahi-net.or.jp:2014/06/28(土) 10:48:10.98 ID:???.net
- icmp-redirectとかで一時的に経路を学習するから?
- 410 :Anony:2014/06/29(日) 01:27:40.98 ID:???.net
- ScreenOSはICMP Redirect対応してないんじゃね?
SRXはオン/オフできたとおもうけど。
- 411 :anonymous@225.208.138.210.vmobile.jp:2014/07/01(火) 19:44:13.16 ID:???.net
- NS50でHA成功しました。
ただ、サブ機でアラームLEDがついて、DNSエラーが起きてるみたい。
その後DNS接続成功してるけど、接続の度にエラーになって、その後成功。
メイン機では、エラーは無いけど、なんだかなぁ、です。
同じような事例はありますか?
ScreenOS5.4r26です。
- 412 :Anonymous:2014/07/02(水) 22:56:38.29 ID:???.net
- PPPoEセッションが張れるのはMaster機だけなら
Backup機はグローバルへのルートが存在しない状態。
グローバルにあるDNSを参照できないのは当たり前のような気がするが。
- 413 :anonyumous:2014/07/02(水) 23:14:48.51 ID:???.net
- その後成功しているのはセッションが同期されているためかな?
- 414 :anonymous@138.208.138.210.vmobile.jp:2014/07/07(月) 17:19:06.37 ID:???.net
- ありがとうございます。
皆さんには、感謝します。
- 415 :anonymous@122.216.28.245:2014/07/23(水) 13:15:18.22 ID:???.net
- vipの設定をしていたら、too many virtual ip って出て、vipの設定ができないんだが、これってライセンス数の制限でもかかってるのかな?すみません教えてください。
- 416 :anonymous:2014/07/23(水) 18:08:52.73 ID:???.net
- vipの数って機種ごとに上限があるよ。
ちなみにSSG5で4つまで。(ただし、Extended版では5つまで)
- 417 :anonymous@FL1-122-130-131-93.tky.mesh.ad.jp:2014/07/23(水) 19:50:21.27 ID:???.net
- netscreen25だとvipは二つまでなのかな?スクリーンOSを4系から5の最新版にしても駄目なんですかね?
あー困った.・・・・・
- 418 :anonymous:2014/07/23(水) 21:04:34.56 ID:???.net
- >>417
NetScreen-25のScreenOS 5.4ならVIP 16までいけない?
仕様上はそうなってるが。
- 419 :anonymous:2014/07/24(木) 00:00:33.77 ID:???.net
- VIPってそんなに少なかったっけ?
OSバージョンによっても上限値変わる項目あった気がするね。
特に情報なしでスマソ。
- 420 :anonymous@FL1-119-240-201-209.tky.mesh.ad.jp:2014/07/24(木) 00:48:17.90 ID:???.net
- たしかにNetScreen-25の5.4だったら公式だとvip16になってるんですよね
ちょっと明日最新版にバージョンアップしてみます!
いきなり大幅なバージョンアップだから壊れないか心配ですwww
- 421 :anonymous@k184164.ppp.asahi-net.or.jp:2014/07/24(木) 03:48:54.91 ID:???.net
- シリアルケーブルと各バージョンのファームウェアと、tftpdを用意しておけよー
- 422 :anonymous:2014/07/24(木) 06:25:10.80 ID:???.net
- WebUIからのアップデートだと確かにバージョンによってはうまくいかないことがあったね
- 423 :Anonymous:2014/07/24(木) 09:34:25.45 ID:???.net
- メモリが足りないとかなんだかで転けるんだよな
- 424 :anonymous@184.125.214.202.vmobile.jp:2014/07/27(日) 13:14:28.89 ID:???.net
- 2ヶ月ほど電源を切っていたNS50の電源を入れたら、コンソールへ次の表示が繰り返され止まりません。
止めている間に、ハードが壊れたでしょうか?
Invalid BCD number-ff
Illegal month value 0###time trace:, Trace Dump ................
フラッシュが死んじゃったかな
- 425 :blob:2014/07/27(日) 14:54:07.91 ID:???.net
- http://kb.juniper.net/InfoCenter/index?page=content&id=KB4939&pmv=print
- 426 :anonymous@p21007-ipngn100208osakachuo.osaka.ocn.ne.jp:2014/08/11(月) 23:50:18.12 ID:???.net
- ssg5 wirelessが3000円でゲットできた。
純正アンテナがなかったが、アンテナ2本を700円で買ってきてくっつけたら何の問題もなく動いた。
これで遊べるわぁ
- 427 :anonymous:2014/08/12(火) 22:39:34.96 ID:???.net
- ちょっと教えて欲しいのですがSSGでは通常の名前解決はDNS Proxyでやりつつ、
個別のホスト名だけは特定IPに名前解決をしてやる方法はありますか?
通常は外のDNSサーバに名前解決をリレーしてあげたいのですが、
内部サーバをわざわざループバックさせたくないので・・・
- 428 :anonymous:2014/08/12(火) 23:02:29.62 ID:???.net
- 内部の端末のhostsファイルにサーバのIPとホスト名書いちゃうとか。
だめか。。
- 429 :anonymous:2014/08/12(火) 23:06:12.37 ID:???.net
- >>428
その方法だと内部にぶら下がってる全ての端末のhostsを書き換えないといけないのと
ぶら下がってるモノの中にはandroid端末もあったりするので書き換え不可なモノもあるの
内部に自由にいじれるDNSを建ててしまうって手も考えたけどたかだかこんな事のために
サーバ1台立てるのは・・・ってのもあってどんな通信も経由するSSGが個別に名前解決出来たら
全ての問題が解決するのになぁと思った次第
- 430 :anonymous:2014/08/13(水) 09:52:25.09 ID:???.net
- >>427
ドメインレベルでなら出来たけどホストレベルまで出来るかどうかはやったこと無い。
- 431 :431:2014/08/13(水) 09:53:57.17 ID:???.net
- 補足
解決するDNSをドメインべつに変えただけで、SSGにダイレクトにIPを解決させたわけじゃ無いです。
- 432 :anonymous@k184164.ppp.asahi-net.or.jp:2014/08/13(水) 09:55:11.05 ID:???.net
- CacheのStatic
- 433 :anonymous:2014/08/13(水) 23:35:05.77 ID:???.net
- >>431
それだとどうしても別にDNSが必要になってくるので・・・
余ってるPCにBJDのDNS入れてみたけど不安定で使いものにならん
素直にBIND入れた端末作るしかないか・・・
- 434 :anonymous:2014/08/13(水) 23:56:36.56 ID:???.net
- Raspberry PiにUnboundでいーじゃん
- 435 :anonymous@26.178.138.210.vmobile.jp:2014/09/10(水) 19:05:44.39 ID:???.net
- このスレは生きてますか?
- 436 :anonymous:2014/09/10(水) 20:35:11.45 ID:???.net
- >>435
NETSCREEN、SSG死んでるw
- 437 :anonymous@49.125.30.125.dy.iij4u.or.jp:2014/09/11(木) 08:45:36.26 ID:???.net
- EOL
- 438 :anonymous@:2014/09/12(金) 00:16:15.67 ID:???.net
- キャンペーン価格のSRXに移行するか、他ベンダーに移行するか・・。
- 439 :anonymous:2014/09/12(金) 01:26:17.84 ID:???.net
- SRX選んだってSSGとは別物だし、他社製品を選ぶのと大して変わらん。
- 440 :anonymous@ai126197026050.18.access-internet.ne.jp:2014/09/16(火) 20:39:18.83 ID:???.net
- 今320使った構築やらされてんだけど、SRXのほうがいいのか
- 441 :anonymous:2014/09/17(水) 03:52:17.19 ID:???.net
- はい
- 442 :anonymous:2014/09/17(水) 07:03:30.86 ID:???.net
- 使ってみりゃ分かるw
- 443 :Anonymous:2014/09/20(土) 02:59:51.70 ID:???.net
- 320mだとJunosとコンパチだけどあれはJシリーズか
- 444 :anonymous:2014/09/24(水) 01:34:55.43 ID:1ly2eQAQ.net
- EOLまでScreenOSで粘るのが正解
- 445 :anonymous@pw126152000161.10.panda-world.ne.jp:2014/09/26(金) 07:38:05.87 ID:???.net
- >>298
亀だけど、切り戻りする際に元masterが完全に復旧してるかわかんない(再起動が続いてしまう故障とか)から
ある程度連続で応答があったら切り戻りしましょうねっていう設定があるよ
- 446 :anonymous:2014/10/09(木) 11:53:53.52 ID:XJgbeELh.net
- 社内FWをSSG320にしたった
- 447 :anonymous:2014/10/11(土) 20:50:30.41 ID:???.net
- Ciscoスレで泣いてる人みーっけ
- 448 :anonymous:2014/10/13(月) 14:25:57.09 ID:???.net
- IDが一致w
- 449 :anonymous:2014/10/18(土) 22:11:34.16 ID:???.net
- >>427だけどもしかしてDNSキャッシュのスタティック登録で出来るかもしれないっぽい気がしてきたんだけど
誰かやったこと無い?
- 450 :anonymous:2014/10/19(日) 00:16:07.11 ID:???.net
- あるよ
- 451 :anonymous:2014/10/23(木) 13:27:03.14 ID:???.net
- >>447 >>448 バレバレでワロタです
- 452 :anonymous@179.178.138.210.vmobile.jp:2014/11/19(水) 18:57:24.44 ID:???.net
- 二拠点間でVPN接続しているNS50の両方をHAしたら、別拠点のメインとサブの管理画面が表示されなくなりました。それぞれ自分側の管理画面は表示されます。
管理画面はそれぞれ専用のIPを振ってます。
こんなもんでしょうか。
- 453 :anonymous:2014/11/19(水) 21:06:41.99 ID:???.net
- >>452
両方マスターになってるオチが浮かんだけど、
管理画面以外の通信は問題ない?
- 454 :anonymous@179.178.138.210.vmobile.jp:2014/11/20(木) 15:34:17.75 ID:???.net
- 各拠点を2台づつでHAして、それぞれはマスターとサブになってます。
その他異常はないんです。
- 455 :anonymous:2014/11/20(木) 22:24:16.20 ID:???.net
- >>454
IP3つ振ってるよね?
- 456 :anonymous@13.208.138.210.vmobile.jp:2014/11/21(金) 18:59:25.43 ID:???.net
- 三つ振ってます。
- 457 :ななし:2014/11/21(金) 21:10:22.69 ID:???.net
- >>452
管理用のIPへのルートある?
- 458 :anonymous:2014/11/21(金) 21:13:53.59 ID:???.net
- 管理用IPへのポリシーある?
マスター→スタンバイへのポリシーは対向側でNAT必要
- 459 :anon:2015/03/08(日) 17:55:57.46 ID:???.net
- Firefox 36.0にアプデしたらssg140の管理画面にアクセスできぬorz
- 460 :anonymous@s958103.xgsspn.imtp.tachikawa.spmode.ne.jp:2015/03/09(月) 08:24:09.13 ID:???.net
- >>459
違うブラウザ使うべし
- 461 :anon:2015/03/09(月) 23:04:59.24 ID:???.net
- >>460
ありがと。SSL捨てればいいが乗り換えしかないかorz
Fx昔のバージョンではオブジェクト削除ができなかったこともあったな
- 462 :anonymous:2015/04/18(土) 00:23:56.77 ID:???.net
- Defaultのは期限切れの証明書だから新しく自己署名証明書作って
それをManagementのCertificateに設定すればOK
- 463 :anonymous:2015/08/20(木) 07:58:38.60 ID:Oh+ZGAc4.net
- ScreenOSっていつまで続くの?
- 464 :Anonymous:2015/08/20(木) 09:14:24.14 ID:???.net
- ググりゃすぐ出てくるでしょ。
SSGでまだ販売してた機種の販売終了が案内されたから、
残ってた6.3系 も2021/1/31でEoE/EoLが決まったよ。
- 465 :anonymous:2015/08/21(金) 20:20:15.81 ID:???.net
- 終了ば残念だけど。そもそも後継機が残念過ぎで別メーカ品へ乗り換えているユーザは多いはず。
- 466 :anonymous@nttkyo046145.tkyo.nt.ngn2.ppp.infoweb.ne.jp:2015/10/20(火) 22:27:39.37 ID:t4BN0CDH.net
- 機種:SSG140
OS:ScreenOS 6.2.0.r6.0
192.168.0.1を必ず1.1.1.1、192.168.0.10を必ず1.1.1.10にアドレス変換をしたいのですが、
下記の設定でそのような動作になるかご教授いただけないでしょうか。
また設定に過不足があるようであれば、その内容についてもご教授いただけないでしょうか。
SSG5-> set interface ethernet0/0 dip 5 shift-from 192.168.0.1 to 1.1.1.1 1.1.1.10
set address trust host1 192.168.0.1/32
set address trust host2 192.168.0.10/32
set address trust hostR1 1.1.1.1/32
set address trust hostR1 1.1.1.10/32
(その他、ポリシー設定あり)
<<アドレス変換>>(期待値)
192.168.0.1 → 1.1.1.1
192.168.0.10 → 1.1.1.10
第4カラムが連続していれば、大丈夫そうには見えますが、
アドレスに間がある場合についてが記述がなく困っております。
また、以下のような設定は可能でしょうか。
SSG5-> set interface ethernet0/0 dip 5 shift-from 192.168.0.1 to 1.1.1.1 1.1.1.1 ←既存設定
SSG5-> set interface ethernet0/0 dip 6 shift-from 192.168.0.10 to 1.1.1.10 1.1.1.10 ←追加設定
- 467 :anonymous@KD111107186159.au-net.ne.jp:2015/10/21(水) 23:02:23.37 ID:???.net
- VIPじゃダメなんけ?
- 468 :anonymous@nttkyo046145.tkyo.nt.ngn2.ppp.infoweb.ne.jp:2015/10/22(木) 06:18:36.05 ID:???.net
- >>467
vipについては、宛先アドレス変換と認識してました。。
vipの機能を調べてみます。
もし宜しければ設定イメージを教えて頂けないでしょうか。
- 469 :ano:2015/10/22(木) 08:34:35.05 ID:???.net
- >>468
やりたいこと書かなきゃ設定イメージ書けんよ
- 470 :anonymous@p61212-mobac01.tokyo.ocn.ne.jp:2015/10/22(木) 12:31:51.50 ID:???.net
- >>469
大変失礼しました。
トラスト➡アントラストの通信において 192.168.0.1/24を必ず1.1.1.1/24、192.168.0.10/24を必ず1.1.1.10/24にアドレス変換を行いたいです。
192〜はトラスト、1.1.〜はアントラストになります。
※変換前後のアドレスの紐付けをどうしても変えられない状況です。
不足な情報があれば、申し訳ないですがご指摘頂きたく。
- 471 :ano:2015/10/22(木) 21:45:21.63 ID:???.net
- >>470
目立か…
とりあえず、ポリシーでSNATでいいんじゃないかな
出先だから家帰ったらサンプルだせたらだすわ
- 472 :anonymous@KD182250242008.au-net.ne.jp:2015/12/24(木) 18:28:20.42 ID:???.net
- screenosにとんでもない脆弱性がみつかったのを確認しているか?
特定のosバージョンだとCUIでアクセスさえできれば誰でもログインできる。
- 473 :anoymous:2015/12/24(木) 22:49:20.70 ID:???.net
- 修正版ファームウェア出たね。
- 474 :anonymous:2015/12/25(金) 08:50:07.53 ID:???.net
- ソースくらい貼ったれよ
脆弱性が発見されたジュニパーの「ScreenOS」にデフォルトのバックドアパスワード
http://japan.zdnet.com/article/35075323/
- 475 :anoymous:2015/12/25(金) 22:53:33.99 ID:???.net
- http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10713&actp=search
2015-12 Out of Cycle Security Bulletin: ScreenOS: Multiple Security issues with ScreenOS (CVE-2015-7755, CVE-2015-7756)
公式のやつ。
- 476 :anonymous@86.72.239.49.rev.vmobile.jp:2016/04/16(土) 12:23:16.73 ID:???.net
- 基本的なことですまん
ポリシーベースとルートベースはどちらがパフォーマンスが高いですか
VPNね
- 477 :anonymous:2016/04/21(木) 09:40:44.57 ID:???.net
- さてISG2000も終売になっちゃったけど
後継機何にするかね
- 478 :anoymous:2016/04/24(日) 01:59:31.34 ID:???.net
- >>476
おなじだよ。
- 479 :anonymous:2016/04/25(月) 14:52:35.27 ID:wTukt1lq.net
- 後継機種はfortigateになります
- 480 :sage:2016/04/26(火) 15:01:37.45 ID:???.net
- fortigate使いにくい
- 481 :anoymous:2016/04/26(火) 18:13:12.34 ID:???.net
- かと言ってSRXもクソだしなあ。
使い易いFWが無いなあ。
- 482 :anonymous:2016/04/26(火) 20:10:18.61 ID:???.net
- 僕パロアルトオオオオオ
- 483 :それは:2016/04/26(火) 23:36:58.76 ID:???.net
- 遅すぎなんだよおおおおお
- 484 :anonymous@FL1-122-134-21-221.hkd.mesh.ad.jp:2016/06/01(水) 00:50:01.53 ID:yOEsxbU2.net
- マ イ ン ド コ ン ト ロ ー ル の手法
・沢山の人が、偏った意見を一貫して支持する
偏った意見でも、集団の中でその意見が信じられていれば、自分の考え方は間違っているのか、等と思わせる手法
・不利な質問をさせなくしたり、不利な質問には答えない、スルーする
誰にも質問や反論をさせないことにより、誰もが皆、疑いなど無いんだと信じ込ませる手法
偏った思想や考え方に染まっていたり、常識が通じない人間は、頭が悪いフリをしているカルト工作員の可能性が高い
靖 国 参 拝、皇 族、国 旗 国 歌、神 社 神 道を嫌う カ ル ト
10人に一人は カ ル ト か 外 国 人
「ガ ス ラ イ テ ィ ン グ」 で 検 索 を !
- 485 :anonymous:2016/06/06(月) 21:07:55.01 ID:ugyF/PDF.net
- 色々使ってきたが、Screenosがやっぱ一番だわ。
もう開発者残ってないんかな。
- 486 :anonymous:2016/08/10(水) 09:55:31.68 ID:???.net
- >>485
俺もそう思う
勿体ないよなあ
- 487 :anonymous:2016/09/22(木) 00:29:30.74 ID:jdkolcKBm
- Juniperサイトで新規にアカウントを作ろうとしたが
5GTのシリアル入れても Invalid になる
もうScreenOSダウンロードできないのか・・・
- 488 :anonymous@ 240f:78:f04:1:1868:8366:4443:714b:2016/11/16(水) 05:33:57.14 ID:nTdBCqbii
- 無料風評被害対策のブッダワークス
http://www.buddha-works.net
- 489 :anonymous@103-226-44-4.ty4.wi-gate.net:2017/06/02(金) 12:32:15.88 ID:???.net
- screenos6.2において、1つの物理インタフェースにIPv4とIPv6の二つの
PPPoEクライアントを割り当て、各々IPアドレスを受け取ることは出来
たでしょうか?
ssg5で実際にやろうとすると、2つめのPPPoEにインタフェースを割り当てる
段階で、1つめのインタフェースがプルダウンメニューに無いので選択できない
のです。
繋げたいプロバイダはフレッツなのですが、necのwg1800hp2だとこう言う
芸当が簡単にできるのに、SSG5だと上手くいかないので困っています。
- 490 :anonymous:2017/06/02(金) 17:34:17.88 ID:???.net
- Sub-IFを作ってe0/0.1でPPPoEするとか
IPv6に対応してるかどうかはわからんけど
- 491 :sage:2017/06/02(金) 19:44:01.18 ID:???.net
- >>489
とりえあず、サポート終わってる6.2なんか使わず6.3にすれば?
- 492 :anonymous@p3564111-ipngn20201marunouchi.tokyo.ocn.ne.jp:2017/06/04(日) 00:12:31.36 ID:???.net
- >>489 とりあえず試してみます。ありがとうございます。
v6のRAは受け取っているようです。
>>490
すみません。6.3r10でした。
- 493 :anonymous@103-226-44-8.ty4.wi-gate.net:2017/06/06(火) 12:21:49.10 ID:???.net
- あるゾーン間で全ての通信を遮断したいのですが、ポリシーの
評価順序を私が理解できてないようでうまくいきません。
affiliateというゾーンを作って、アフィサイトのIPを登録し、
Trustからaffiliateへのポリシーを追加して通信を全てrejectに
しました。
TrustからUntrustへのポリシーより順番を上に配置したので
すが、アフィサイトへpingを打つと通ってしまいます。
何の設定が不味いのでしょうか。
- 494 :anonymous:2017/06/06(火) 21:33:23.03 ID:???.net
- UntrustゾーンのオブジェクトにIP登録して、Trust to Untrustルールに書いてみたら?
あと、reject より deny にすべきかと。
- 495 :anonymous@p3563087-ipngn20201marunouchi.tokyo.ocn.ne.jp:2017/06/06(火) 22:04:09.77 ID:???.net
- >>494 ありがとうございます。助かりました。
しかしながら、できると思っていたことができないことが判って
少々戸惑ってます。
とりあえずTrust→Untrustへのポリシーをコピーし、そこへ拒否
したいアドレスを登録、ポリシー評価の順番を変えたらpingが
タイムアウトするようになりました。
私の理解では、テレメトリ用IPや広告系IPの集合を各々ゾーンとして
登録し、Trust→それらのゾーンへ通信を遮断すればよい、と思って
いました。
ところが実際の動作をみていると、外部にある送信先によって通信を
遮断するのが目的ならば、何れもTrust to Untrustでポリシーを作らな
ければならないです。そういう理解で良いのでしょうか?
- 496 :anonymous:2017/06/15(木) 20:58:26.31 ID:HnQqri5b.net
- まだEOLになってないのか
しぶといな
- 497 :は:2017/06/15(木) 21:53:32.83 ID:???.net
- >>495
よろしくもあり、よろしくなくもある
- 498 :anonymous@fusianasan:2017/12/28(木) 08:49:34.32 ID:qH5jGHED.net
- 誰でも簡単にネットで稼げる方法など
参考までに、
⇒ 『加藤のセセエイウノノ』 というサイトで見ることができるらしいです。
グーグル検索⇒『加藤のセセエイウノノ』
K4OI9NUL78
- 499 :anonymous@fusianasan:2017/12/30(土) 11:13:30.47 ID:???.net
- 中古ssg5を買ってget systemしたら、OSのファイル名がscreen_osなんとかになってました。
以前はssg5ssg20.6.3r10.0みたいな名前だったのですけど、これは正しいのでしょうか?
ちなみにリビジョンの部分は6.3.0r23.0って出てます。
間違ったファームウェアが入っているので無ければ良いのですが。
- 500 :anoymous:2017/12/30(土) 11:20:23.88 ID:???.net
- tftp するファイル名を変更したんじゃね?しらんけど。
- 501 :anonymous@fusianasan:2017/12/31(日) 00:43:02.73 ID:???.net
- >>500 レストン
動作も妙なので、いまいち釈然としません。
別のssg5で動作しているconfigを流し込んでもweb guiでアクセスできないと言うか、firefoxがssg5のHTTPSレスポンスを信用できないと弾くので困ってます。
- 502 :anonymous:2017/12/31(日) 19:05:46.45 ID:09SlVAB5.net
- >>501
最近のブラウザでSSGに管理アクセスするときに
SelfSignedの証明書とはまた別に、暗号化スイートだかが古くて弾かれてるだけだった気がするけど
- 503 :anonymous@fusianasan:2017/12/31(日) 21:04:27.56 ID:???.net
- レストン。マジですか。ガッカリですね。
帰省前にfirefoxのエラーメッセージでググったけど、juniperのフォーラムではそのものズバリって内容がヒットしなかったです。
ちなみにedgeで試したのですがfirefox同様の理由でアクセスを跳ねられてました。edgeを使って管理したことは無いのですが。
- 504 :anonymous:2017/12/31(日) 23:30:43.63 ID:???.net
- Cannot communicate securely with peer: no common encryption algorithm(s). エラーコード: SSL_ERROR_NO_CYPHER_OVERLAP
Firefoxのこのエラーメッセージなら
フォーラムに回答あったのでSSG5 GTで検証やってみて通ったけど
https://forums.juniper.net/t5/ScreenOS-Firewalls-NOT-SRX/ssl-error-no-cypher-overlap-when-trying-acess-to-SSG5/td-p/300865
- 505 :anonymous@fusianasan:2018/01/03(水) 07:10:06.06 ID:???.net
- 私が道民の家でお茶をご馳走になったときのこと
その家の42歳の息子がむずかりだした。
母親がその子を椅子の上に立たせてパンツを降ろし
牛乳の空きパックを男性器にあてがうと小便をした。
しかもあろうことか空きパックに入ったものをキッチン
の流しに捨てたのです。
その慣れた様子からも日常的にしているのでしょう。
- 506 :anonymous@fusianasan:2018/01/28(日) 22:03:06.37 ID:???.net
- SSG後継機にSRX300を検討中なんだが、誰かLTE使ってる人いる?
- 507 :anonymous@fusianasan:2018/02/22(木) 19:56:12.90 ID:???.net
- ☆ 日本の、改憲を行いましょう。現在、衆議員と参議院の
両院で、改憲議員が3分の2を超えております。
『憲法改正国民投票法』、でググってみてください。国会の発議は
すでに可能です。平和は勝ち取るものです。お願い致します。☆☆
- 508 :anonymous:2018/03/04(日) 11:33:59.76 ID:???.net
- >>506
FWでLTEって使う場面ある?
- 509 :anonymous@fusianasan:2018/05/21(月) 18:25:16.65 ID:WI69FONG.net
- ユニークで個性的な嘘みたいに金の生る木を作れる方法
興味がある人はどうぞ
グーグルで検索するといいかも『ネットで稼ぐ方法 モニアレフヌノ』
UXZSI
- 510 :anonymous@fusianasan:2018/10/19(金) 17:53:14.52 ID:???.net
- 私たち日本人の、日本国憲法を改正しましょう。
総ム省の、『憲法改正國民投票法』、でググって
みてください。拡散も含め、お願い致します。
- 511 :anonymous@fusianasan:2018/10/19(金) 21:45:02.58 ID:???.net
- マルチポストうぜぇ。
そんなことやると逆効果だと思うけどね。
消費税の増税を強行するという愚行に及んでる政権だから憲法改正なんて無理だよ。
- 512 :anonymous:2018/11/25(日) 17:12:25.85 ID:???.net
- ScreenOSもいよいよ終わりかあ。
- 513 :anonymous@fusianasan:2021/01/13(水) 04:06:50.27 ID:???.net
- https://i.imgur.com/v3REQbj.jpg
総レス数 513
140 KB
掲示板に戻る
全部
前100
次100
最新50
read.cgi ver.24052200