先週のRTX-1100と同等の管理設定をNetScreenにも行います。
NetScreenではデフォルトでは「Trust」ゾーンのインターフェース(ethernet1)で各種管理サービスが動作しています。デフォルト動作のため、単に「get config」をしただけでは、出てこないので注意が必要です。
ns5gt-> get conf | incl manage set interface ethernet1 ip manageable set interface ethernet3 ip manageable
このようにデフォルト値を含む設定を確認したい場合は、「get config all」を使います。
ns5gt-> get conf all | inc manage set interface ethernet1 ip manageable set interface ethernet3 ip manageable set interface ethernet1 manage ping set interface ethernet1 manage ssh set interface ethernet1 manage telnet set interface ethernet1 manage snmp set interface ethernet1 manage ssl set interface ethernet1 manage web unset interface ethernet1 manage ident-reset unset interface ethernet3 manage ping unset interface ethernet3 manage ssh unset interface ethernet3 manage telnet unset interface ethernet3 manage snmp unset interface ethernet3 manage ssl unset interface ethernet3 manage web unset interface ethernet3 manage ident-reset
「web」はhttp、「ssl」はhttpsでアクセスできるWEBインターフェースですが、今回は基本的にコンソールでのみ管理するので、この2つとtelnetをunsetし、sshでのみ管理するように設定します。また、ethernet3でpingが返らないのは不便なので(不便ですむのかという話はもちろんあります)これは有効にします。
ns5gt-> set ssh enable ns5gt-> unset int eth1 manage telnet ns5gt-> unset int eth1 manage ssl ns5gt-> unset int eth1 manage web ns5gt-> set int eth3 manage ping
冒頭で「set ssh enable」しているのは、デフォルトではsshとsslは有効になっていないためです。
なお、sshの待受けポート(デフォルト22/tcp)を変更するのは「set admin ssh port PORTNUMBER」で、sslの待受けポート(デフォルト443/tcp)を変更するのは「set ssl port PORTNUMBER」であったりと、ScreenOSでの管理関係の設定コマンドは錯綜している状態のものがありますので、注意してください。