SSG140 MIPとPolicy設定

Juniper Networks社のUTM機器、SSG140の設定についての記事2つめです。

SSGでは、サーバーなど、グローバルIPアドレスとプライベートIPアドレスの1対1の対応付けを行う場合、「MIP」という機能でIPアドレスのマッピングを行います。

仮に、WebサーバーのプライベートIPアドレスを192.168.10.115、それに対応づけたいグローバルIPアドレスを1.2.3.4とすると、次のようなMIPのエントリーを作成します。

  • Mapped IP: 1.2.3.4
  • Host IP: 192.168.10.115

ファイアウォールでアクセス許可ポリシーを設定する際、インターネットからWebサーバーへの、Inbound (From: Untrust, To: Trust) の例えばHTTPアクセスについては、以下のようなPolicyを追加します。
Destination AddressとしてMIPエントリーを指定するのがポイントです。

  • Source Address: Any
  • Destination Address: MIP (1.2.3.4)
  • Service: HTTP

Webサーバーからインターネットへの、Outbound (From: Trust, To: Untrust) の例えばSMTPアクセスについては、以下のようなPolicyを追加します。
Source Addressとして、プライベートIPアドレスを指定するのがポイントです。

  • Source Address: 192.168.10.115
  • Destination Address: Any
  • Service: SMTP

これで、Outboundアクセス時は、MIPで設定したとおりグローバルIPアドレス1.2.3.4を使用してインターネットにアクセスします。
Source AddressとしてMIPエントリーを指定すると、うまくいかないので注意しましょう。
(なぜOutboundのときはMIP指定じゃダメなのだろう。。)

(関連記事)
・SSG140のファームウェア、Image Keyアップデート
https://inaba-serverdesign.jp/blog/20150717/ssg140_firmware_update.html

・SSG140設定でハマったこと
https://inaba-serverdesign.jp/blog/20150717/ssg140.html