Juniper SSG5導入 2

SSG5を導入するにあたり自宅のネットワーク環境を整備して、一応外部からのサイト閲覧もOKと思いブログに書き込みをしたのが前回でした。
実は外部からサイトの閲覧が出来ていないことが後で発覚。リクエストがファイアウォールで止められているというのは分かっていましたが、そんなに設定する項目も多くないしなんで・・・
グローバルIPは1つなのでVIPの設定を使ってIPを変換。当初VIPの画面でサーバのstatusがdownになっていて、VIPを使う場合PINGが通らないとStatusがOKにならないと知り、ここでも結構悩みましたがstatus:OKに成功。(サーバ側のファイアウォールでICMPを制限していたのを忘れていました)
SSG5でもサーバを認識しているし、ポリシーも設定したのになぜ外部から見れない・・・
結論はポリシーのDestinationの指定が良くなかったみたいです。
Untrust→DMZのポリシーでDestinationをこのサイトのサーバのローカルIPアドレスを指定していましたが、VIPを使用しているのでここはVIP(Untrust側のインターフェース)を指定する必要があったみたいです。
これで無事外部からこのサイトが表示できることを確認。
今まではIP変換でMIPを良く使っていて、VIPを使ったのは今回初めて。VIPを使うとその他の設定方法も微妙に違うことを実感。
でも復旧できてよかった。

 

スポンサードリンク