Netscreen 5GT - Blocage DMZ -> Untrust
Netscreen 5GT - Blocage DMZ -> Untrust - Sécurité - Réseaux grand public / SoHo
Marsh Posté le 18-02-2008 à 14:03:06
self réponse:
http://forums.juniper.net/jnet/boa [...] ead.id=333
le nat ne fonctionne que pour trust->untrust. pour dmz->untrust, il faut le préciser dans la règle qu'on utilise du nat.
logique tout ça ![[:ocube]](https://forum-images.hardware.fr/images/perso/ocube.gif "[:ocube]")
Sujets relatifs:
- 2 routeurs : redirections tcp+udp sur ports [1;65535] = DMZ ?
- [Routage] blocage avec 2 route par défaut
- Question sur DMZ , serveur web et serveur BD
- Blocage de ping ou autre
- Blocage site microsoft proxy 2 du matin au soir
- DI-624 et imprimante: blocage ? config ?
- DMZ Kerio
Marsh Posté le 17-02-2008 à 13:06:28
salut,
j'ai un netscreen 5gt (screenos 5.4), configuré tout comme il faut pour le fonctionnement trust-untrust.
voulant passer en mode trust-untrust-dmz, j'ai passé ma conf en extended avec tout à l'identique.
seulement même en mettant une règle dmz -> untrust permit any (identique à celle trust -> untrust), le trafic ne passe pas![[:noxauror]](https://forum-images.hardware.fr/images/perso/noxauror.gif "[:noxauror]")
![[:opus dei]](https://forum-images.hardware.fr/images/perso/opus dei.gif "[:opus dei]")
raison invoquée sur la "policy" : close - age out.
résumé de la conf
eth1 untrust route
eth2 trust nat
eth3 dmz nat
policies
trust -> untrust permit any
dmz -> untrust permit any
trust -> dmz permit any
et 2 autres règles, vip associé à eth1 pour le nat.
c'est d'autant plus bizarre que la règle permettant trust -> untrust est strictement identique à la règle dmz -> untrust.
si vous avez une idée, je suis prenneur![[:zytra]](https://forum-images.hardware.fr/images/perso/zytra.gif "[:zytra]")
edit:
en ajoutant une règle dmz -> trust permit any (bon, la dmz perd son sens mais c'est du troubleshooting
Message édité par Profil supprimé le 18-02-2008 à 10:44:23