Juniper Networks社のUTM機器、SSG140の設定についての記事2つめです。

SSGでは、サーバーなど、グローバルIPアドレスとプライベートIPアドレスの1対1の対応付けを行う場合、「MIP」という機能でIPアドレスのマッピングを行います。

仮に、WebサーバーのプライベートIPアドレスを192.168.10.115、それに対応づけたいグローバルIPアドレスを1.2.3.4とすると、次のようなMIPのエントリーを作成します。

• Mapped IP: 1.2.3.4
• Host IP: 192.168.10.115

ファイアウォールでアクセス許可ポリシーを設定する際、インターネットからWebサーバーへの、Inbound (From: Untrust, To: Trust) の例えばHTTPアクセスについては、以下のようなPolicyを追加します。
Destination AddressとしてMIPエントリーを指定するのがポイントです。

• Source Address: Any
• Destination Address: MIP (1.2.3.4)
• Service: HTTP

Webサーバーからインターネットへの、Outbound (From: Trust, To: Untrust) の例えばSMTPアクセスについては、以下のようなPolicyを追加します。
Source Addressとして、プライベートIPアドレスを指定するのがポイントです。

• Source Address: 192.168.10.115
• Destination Address: Any
• Service: SMTP

これで、Outboundアクセス時は、MIPで設定したとおりグローバルIPアドレス1.2.3.4を使用してインターネットにアクセスします。
Source AddressとしてMIPエントリーを指定すると、うまくいかないので注意しましょう。
（なぜOutboundのときはMIP指定じゃダメなのだろう。。）

（関連記事）
・SSG140のファームウェア、Image Keyアップデート
https://inaba-serverdesign.jp/blog/20150717/ssg140_firmware_update.html

・SSG140設定でハマったこと
https://inaba-serverdesign.jp/blog/20150717/ssg140.html

• 0
• 1
• 0