- PR -

Netscreen5GT の設定について

投稿者

投稿内容

てん: 会議室デビュー日: 2005/07/25; 投稿数: 1

投稿日時: 2005-07-25 17:44

Netscreen5GT を自宅に購入し、マニュアルをみながら悪戦苦闘しております。
オンラインゲームなどのためにポートを空けようとしたのですが
以下のようなエラーが発生し、うまくいきません。

set interface ethernet3 vip xxx.xxx.xxx.xxx + 2300 "test" 192.168.1.100
Insufficient virtual ports in pool - [(204) needed, (61) available] !

オブジェクトの設定は以下になります。
set service "test" protocol tcp src-port 0-65535 dst-port 2300-2400 timeout never

エラーを見る限り、たくさんのポートを空けることが出来ないようなのですが
うまく設定することは可能でしょうか？

ＮＡＯ: ぬし; 会議室デビュー日: 2001/10/24; 投稿数: 1256; お住まい・勤務地: 神奈川のはずれから東京の下町

投稿日時: 2005-07-25 18:23

こんばんは。

内容までは見てませんが、聞く前にまずは検索されてみては如何？
googleでもエラー内容で検索引っかかるかもしれませんし、

この会議室にもた～くさん質問が上がってますよ。
それらを見た上で解らなければ聞く様にしたら如何？　

Mattun: ぬし; 会議室デビュー日: 2004/08/10; 投稿数: 1391

投稿日時: 2005-07-25 19:17

引用:
オンラインゲームなどのためにポートを空けようとしたのですが以下のようなエラーが発生し、うまくいきません。

「ポートを空ける」って言い方自体、色んな含みを持った言葉なので、
あまり好きじゃないのですが・・・

プライベートIPアドレスを持ったTrust側の端末が、
グローバルIPアドレスを持った端末からの特定のポート(*)への通信を行えるようにしたい、
というのがやりたいことかと思います。

久しくNetScreenはいじってないので記憶を頼りに書きますが、
(*)が単一または少数のポートな場合はIPマスカレードを行う設定があったかと思います。
マニュアルにはWebサーバを公開するようなケーススタディで載ってたりするでしょう。
(*)が多数に渡る場合や範囲が広い場合(今回のケース)、
NATを行うような設定項目があったかと思います。
その設定を行うことで、Untrust側に届いた特定のグローバルIPに対するリクエストを
Trust側の特定のIPアドレスにアドレス変換した上で転送するような機能。
これを有効にした上で、FilterPolicyの方で接続元先IPアドレスを制限するようなやり方が有効でしょう。

基本的にルータ一般に近い感じでやるべきことを書きましたが、
それで実装方法が分からないようなら、そのルータの製造元やサポートしてくれるところに
聞くべきでしょう。ルータなんて機種別に機能も大きく異なるんですし、
この手の掲示板などが質問場所として適切かどうか甚だ疑問です。
検索して、なんてのも同様です。

なお、エラーメッセージ自体は、単純にVIPに対するポートの定義の不備によるエラーみたいですが、
そもそも今回の要件でその設定項目を使うこと自体が間違ってた気がします。

くおん: 大ベテラン; 会議室デビュー日: 2004/07/26; 投稿数: 154

投稿日時: 2005-07-26 08:07

おはようございます。
クライアントが何台あるか不明なのでなんともいえませんが、MIPを設定して、
ポリシーで制限するのではダメですか。

＠IT SpecialPR

Netscreen5GT の設定について

スキルアップ／キャリアアップ（JOB@IT）