« Nikon D3 Ver.2.00 => Ver.2.01 ファームウェアアップデートしました。。 | トップページ | Nikon CoolPix P60 の感度撮影・・・・・ »

2009年1月23日 (金曜日)

Juniper NetScreen 所属Zone による I/F モード動作相違について・・・

最近、、NetScreenを触ることが多いのですが、どうも各インターフェースモード(NATモード と ROUTEモード)とそのインターフェースの所属ゾーンによって動作が違うようです。。

通常、インターフェースモードはROUTEモードとして、NAT(DIPも)設定を実施する場合にはポリシーベースで設定することが多いのです。

ただ、特定の環境時には インターフェースモードをNATモードとして設定することもあります。この場合Trustゾーン以外(カスタムゾーンを使用した場合も)では動作しないようです。

簡単に環境を作成して、、動作を試してみました。。

構成はこんな感じです。。
20090123_11_2

動作ログは下記のとおりです。。

パターンA と パターンE で挙動が異なっていることに注目です!

Juniperのマニュアルにも記載はされていません。。

見にくいですが・・・・coldsweats02
※テキストエディタなどのコピーしてみてください。。

【Trustゾーン通信】

pattern A.eth1 I/F NAT
  policy ScrNAT disable

ns50-> get log traffic
PID 1, from Trust to Untrust, src Any, dst Any, service ANY, action Permit
==============================================================================================
Date       Time       Duration Source IP        Port Destination IP   Port Service  SessionID
Reason                         Xlated Src IP    Port Xlated Dst IP    Port ID
==============================================================================================
2009-01-23 15:06:57    0:00:12 192.168.3.101   49300 66.249.89.99       80 HTTP     64053
Close - TCP RST                192.168.200.99   1308 66.249.89.99       80
2009-01-23 15:06:49    0:00:02 192.168.3.101   62605 192.168.200.6      53 DNS      64061
Close - RESP                   192.168.200.99   1309 192.168.200.6      53
Total entries matched = 2
ns50->

pattern B.eth1 I/F ROUTE
  policy ScrNAT disable

ns50-> get log traffic
PID 1, from Trust to Untrust, src Any, dst Any, service ANY, action Permit
==============================================================================================
Date       Time       Duration Source IP        Port Destination IP   Port Service  SessionID
Reason                         Xlated Src IP    Port Xlated Dst IP    Port ID
==============================================================================================
2009-01-23 16:18:29    0:00:59 192.168.3.101   62101 192.168.200.6      53 DNS      64051
Close - AGE OUT                192.168.3.101   62101 192.168.200.6      53
2009-01-23 16:18:09    0:00:20 192.168.3.101   49401 66.249.89.99       80 HTTP     64038
Close - AGE OUT                192.168.3.101   49401 66.249.89.99       80
Total entries matched = 2
ns50->

pattern C.eth1 I/F NAT
  policy ScrNAT enable

ns50-> get log traffic
PID 1, from Trust to Untrust, src Any, dst Any, service ANY, action Permit
==============================================================================================
Date       Time       Duration Source IP        Port Destination IP   Port Service  SessionID
Reason                         Xlated Src IP    Port Xlated Dst IP    Port ID
==============================================================================================
2009-01-23 15:18:39    0:00:36 192.168.3.101   49315 66.249.89.99       80 HTTP     64056
Close - TCP FIN                192.168.200.100  1037 66.249.89.99       80
2009-01-23 15:18:01    0:00:01 192.168.3.101   58463 192.168.200.6      53 DNS      64040
Close - RESP                   192.168.200.100  1034 192.168.200.6      53
Total entries matched = 2
ns50->

pattern D.eth1 I/F ROUTE
  policy ScrNAT enable

ns50-> get log traffic
PID 1, from Trust to Untrust, src Any, dst Any, service ANY, action Permit
==============================================================================================
Date       Time       Duration Source IP        Port Destination IP   Port Service  SessionID
Reason                         Xlated Src IP    Port Xlated Dst IP    Port ID
==============================================================================================
2009-01-23 15:17:15    0:00:39 192.168.3.101   49310 66.249.89.99       80 HTTP     64044
Close - TCP RST                192.168.200.100  1030 66.249.89.99       80
2009-01-23 15:16:35    0:00:01 192.168.3.101   58461 192.168.200.6      53 DNS      64044
Close - RESP                   192.168.200.100  1028 192.168.200.6      53
Total entries matched = 2
ns50->

------------------------
【DMZゾーン通信】

pattern E.eth1 I/F NAT
  policy ScrNAT disable

ns50-> get log tra
PID 2, from DMZ to Untrust, src Any, dst Any, service ANY, action Permit
==============================================================================================
Date       Time       Duration Source IP        Port Destination IP   Port Service  SessionID
Reason                         Xlated Src IP    Port Xlated Dst IP    Port ID
==============================================================================================
2009-01-23 15:25:05    0:00:13 192.168.2.101   49321 66.249.89.99       80 HTTP     64051
Close - TCP RST                192.168.2.101   49321 66.249.89.99       80
2009-01-23 15:24:49    0:00:01 192.168.2.101   51788 192.168.200.6      53 DNS      64061
Close - RESP                   192.168.2.101   51788 192.168.200.6      53
Total entries matched = 2
ns50->

pattern F.eth1 I/F ROUTE
  policy ScrNAT disable

ns50-> get log tra
PID 2, from DMZ to Untrust, src Any, dst Any, service ANY, action Permit
==============================================================================================
Date       Time       Duration Source IP        Port Destination IP   Port Service  SessionID
Reason                         Xlated Src IP    Port Xlated Dst IP    Port ID
==============================================================================================
2009-01-23 15:26:15    0:00:05 192.168.2.101   49324 66.249.89.99       80 HTTP     64062
Close - TCP RST                192.168.2.101   49324 66.249.89.99       80
2009-01-23 15:26:07    0:00:01 192.168.2.101   51789 192.168.200.6      53 DNS      64062
Close - RESP                   192.168.2.101   51789 192.168.200.6      53
Total entries matched = 2
ns50->

pattern G.eth1 I/F NAT
  policy ScrNAT enable

ns50-> get log tr
PID 2, from DMZ to Untrust, src Any, dst Any, service ANY, action Permit
==============================================================================================
Date       Time       Duration Source IP        Port Destination IP   Port Service  SessionID
Reason                         Xlated Src IP    Port Xlated Dst IP    Port ID
==============================================================================================
2009-01-23 15:28:17    0:00:27 192.168.2.101   49327 66.249.89.99       80 HTTP     64040
Close - TCP RST                192.168.200.100  1042 66.249.89.99       80
2009-01-23 15:27:47    0:00:03 192.168.2.101   51792 192.168.200.6      53 DNS      64062
Close - RESP                   192.168.200.100  1040 192.168.200.6      53
Total entries matched = 2
ns50->

pattern H.eth1 I/F ROUTE
  policy ScrNAT enable

ns50-> get log tr
PID 2, from DMZ to Untrust, src Any, dst Any, service ANY, action Permit
==============================================================================================
Date       Time       Duration Source IP        Port Destination IP   Port Service  SessionID
Reason                         Xlated Src IP    Port Xlated Dst IP    Port ID
==============================================================================================
2009-01-23 15:29:59    0:00:13 192.168.2.101   49329 66.249.89.99       80 HTTP     64040
Close - TCP RST                192.168.200.100  1046 66.249.89.99       80
2009-01-23 15:29:47    0:00:04 192.168.2.101   51794 192.168.200.6      53 DNS      64062
Close - RESP                   192.168.200.100  1045 192.168.200.6      53
Total entries matched = 2
ns50->

bullettrain

|

« Nikon D3 Ver.2.00 => Ver.2.01 ファームウェアアップデートしました。。 | トップページ | Nikon CoolPix P60 の感度撮影・・・・・ »

日記・コラム・つぶやき」カテゴリの記事

コメント

コメントを書く



(ウェブ上には掲載しません)


コメントは記事投稿者が公開するまで表示されません。



トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/525392/43831249

この記事へのトラックバック一覧です: Juniper NetScreen 所属Zone による I/F モード動作相違について・・・:

« Nikon D3 Ver.2.00 => Ver.2.01 ファームウェアアップデートしました。。 | トップページ | Nikon CoolPix P60 の感度撮影・・・・・ »