Questione : Come permettere accesso di Internet fra le zone untrusted su SSG-140

Ciò è una rete della prova che collegherà mediante interfaccia ad una produzione network.

I che ha accesso di Internet di messa in opera di difficoltà per i pc della prova nelle zone del untrust. Nel mio ambiente di prova, ho generato con successo le politiche della parete refrattaria e di connettività fra i pc su un'interfaccia di fiducia (eth0/8) ed interfaccia del untrust (eth0/9). Tuttavia, quando provo a configurare un'altra interfaccia del untrust (eth0/7) per accesso di Internet, nessun dei pc nel dominio del untrust possono accedere al Internet. Ho usato il ffilter e metto a punto gli attrezzi ma non potrei abbastanza segnare che cosa con esattezza il problema era. Ho provato molte variazioni differenti senza successo in modo da invece di invio del mazzo di configs confusionari, ho rimosso i configs e comincerò da zero. il

I già ha letto quanto segue: rel= " nofollow " " del _blank " " del target= " di http://rsivanandan.com/Data/10Juniper.pdf del href= di
1. > Web site del ginepro del a/10Juniper.pdf
2. di http://rsivanandan.com/Dat: Concetti & esempi - riferimento di PDF

Please della guida di riferimento di ScreenOS il disegno di rete allegato. Voglio gli ospiti sulle zone binded a untrusted-Vr (potrei aggiungere le zone su ordinazione in avvenire) per avere accesso di Internet. Penso che questo richieda le zone DMZ e Untrust binded a untrusted-V'e la fiducia binded al Fidato a-Vr. Necessariamente non ho bisogno “di un DMZ„ poichè gli ospiti di lan della prova non dovranno essere raggiunti dal Internet - hanno bisogno appena dell'accesso di Internet. In avvenire, potrei aggiungere l'accesso remoto ma io userò probabilmente appena un MIP per fare that.

How posso compire questa operazione using il CLI o WebUI? nome di schedario„ " vuoto " >

 (53 Kb) il Javascript„ del href= " " dei attachmentDetails del class= di (tipo di lima particolari) larghezza dello style= del >Production - prova - schema del Internet per SSG-140.
del >
class= del

Risposta : Come permettere accesso di Internet fra le zone untrusted su SSG-140

Controllare se abbiate installato eth0/9 per usare il NAT. Altrimenti dovete avere pubblico IPS là.

Tuttavia, potrebbe essere (ma non sono positivo a questo proposito) quel NAT non è applicato se rimanete nella stessa zona, qualunque cosa voi regolato le interfacce a.  In quel caso e suggerisco che comunque, dovete generare una nuova zona per eth0/9 e permettere il traffico via una politica specifica.

Le interfacce nella stessa zona possono comunicare senza una politica. Quello è un rischio per la sicurezza se in Untrust e quindi nella mia raccomandazione usare una zona differente comunque.

VRs differente è utile soltanto se volete separare i dominii di percorso (using il OSPF, lo STRAPPO, il BGP e simili) e non propagare gli itinerari automaticamente determinati. Non importano nel vostro caso, in modo da il vostri Untrust-VR/Fiducia-VR potrebbe introdurre più sforzo che necessario, come dovete generare esplicitamente gli itinerari dipassaggio.
Altre soluzioni  
 
programming4us programming4us