SSG140 MIPとPolicy設定
Juniper Networks社のUTM機器、SSG140の設定についての記事2つめです。
SSGでは、サーバーなど、グローバルIPアドレスとプライベートIPアドレスの1対1の対応付けを行う場合、「MIP」という機能でIPアドレスのマッピングを行います。
仮に、WebサーバーのプライベートIPアドレスを192.168.10.115、それに対応づけたいグローバルIPアドレスを1.2.3.4とすると、次のようなMIPのエントリーを作成します。
- Mapped IP: 1.2.3.4
- Host IP: 192.168.10.115
ファイアウォールでアクセス許可ポリシーを設定する際、インターネットからWebサーバーへの、Inbound (From: Untrust, To: Trust) の例えばHTTPアクセスについては、以下のようなPolicyを追加します。
Destination AddressとしてMIPエントリーを指定するのがポイントです。
- Source Address: Any
- Destination Address: MIP (1.2.3.4)
- Service: HTTP
Webサーバーからインターネットへの、Outbound (From: Trust, To: Untrust) の例えばSMTPアクセスについては、以下のようなPolicyを追加します。
Source Addressとして、プライベートIPアドレスを指定するのがポイントです。
- Source Address: 192.168.10.115
- Destination Address: Any
- Service: SMTP
これで、Outboundアクセス時は、MIPで設定したとおりグローバルIPアドレス1.2.3.4を使用してインターネットにアクセスします。
Source AddressとしてMIPエントリーを指定すると、うまくいかないので注意しましょう。
(なぜOutboundのときはMIP指定じゃダメなのだろう。。)
(関連記事)
・SSG140のファームウェア、Image Keyアップデート
https://inaba-serverdesign.jp/blog/20150717/ssg140_firmware_update.html
・SSG140設定でハマったこと
https://inaba-serverdesign.jp/blog/20150717/ssg140.html