2010年05月25日 netscreen 運用してみて

By | 2010年5月24日

自宅のFWにnetscreenを導入してから約1週間程度ですが、
基本的な事に、いくつかはまりマシた。。。
 
  
■ある日突然、自宅PCからインターネットが使えなくなった。

調査したところ、

 ・FWにはドロップのログは出ていない。
 ・wiresharkでは問題なく通信できているように見える。
 ・nslookupでyahoo,google等の名前解決ができる。
 ・デフォゲやyahooまでpingが通る。

悩む。。。分からないが、とりあえず切り分け。

netscreenを前のブロードバンドルータに変更したら、、、
通信できた。。。

やはりnetscreenか。。。でもログには何も出ていないしなぜ。。。
っとブラウザに目をやると、wakwakの認証ページにポート1111でアクセスしている事を確認。。。
1111なんて許可してない。。。
設定して通信できることを確認。

そーいえば、trust⇒untrustのポリシーを、any any permitから、
必要な通信(http,dns等)だけ許可するように変更したな。。。

any any denyを暗黙のdenyで使用していたのでFWのログに記載がなく、長時間悩む事にorz
再発防止として、any any deny&ログ出力を設定。

 
■VPNの設定をいじっていたら、またVPN接続できなくなった。

IKE フェーズ1のモードをMainモードとかAggressiveモードに変更したり、
Remote Gateway TypeをStatic IP やDynamic IPに変更したりしてたら、
自動的にPreferred Certificateとかも微妙に変っていた。。。
 
自分が変更していないとこまで、自動で変るとか。。。
再発防止策として、変更前後でconfigバックアップ(get config)。
 
 
仕事では基本すぎるこの2点だが、改めて重要性を実感w