SSG5をいじれる状態まで設定しよう

いわゆる初期設定というやつですが。

いろいろなサイトを見てみたけど、SSG5をDHCPサーバーにして、WindowsをクライアントとしてGUIで設定するというものが多くて、まずはWindowsでIPアドレスの設定をしているのが多い。

んなことやってられっかー!

と、たけけんは思うので、SSG5にはコンソール接続して同じネットワーク内に入れてしまう設定をやろうと思います。

PCとSSG5との接続はSSG5のCONSOLEに対して、USBシリアルケーブルで接続する。
RS232C USBでググればたくさんでてくるので持ってなかったら買う。

標準のドライバで動くので、USBに刺せば自動で認識するだ。
COMポートがどれかをデバイスドライバで確認する。

これだとCOM3だね。

では、TeratermでCOM3につなごう。

つないだらまずはエンターキーを押さないとLoginと出てこないので、ちょっと注意。

初期化済みだったら
ユーザー名:netscreen
パスワード:netscreen
でログインできるはず。

では、設定に入ろう。

初期状態だとSSG5 は192.168.1.1になってるはずでPINGも通らない。

初期設定を見てみる。


ssg5-isdn-> get system
Product Name: SSG5-ISDN
Serial Number: 0169122009001046, Control Number: 00000000
Hardware Version: 0710(0)-(00), FPGA checksum: 00000000, VLAN1 IP (0.0.0.0)
Flash Type: Samsung
Software Version: 6.3.0r13.0, Type: Firewall+VPN
Feature: AV-K
BOOT Loader Version: 1.3.2
Compiled by build_master at: Fri Dec 14 02:08:19 PST 2012
Base Mac: 2c6b.f505.3fc0
File Name: ssg5ssg20.6.3.0r13.0, Checksum: f03ef88f
, Total Memory: 256MB

Date 07/07/2014 14:50:16, Daylight Saving Time enabled
The Network Time Protocol is Disabled
Up 0 hours 8 minutes 57 seconds Since 07July2014:14:41:19
Total Device Resets: 1, Last Device Reset at: 05/27/2014 12:07:35

ssg5-isdn-> get route

IPv4 Dest-Routes for <untrust-vr> (0 entries)
--------------------------------------------------------------------------------------
H: Host C: Connected S: Static A: Auto-Exported
I: Imported R: RIP/RIPng P: Permanent D: Auto-Discovered
N: NHRP
iB: IBGP eB: EBGP O: OSPF/OSPFv3 E1: OSPF external type 1
E2: OSPF/OSPFv3 external type 2 trailing B: backup route

IPv4 Dest-Routes for <trust-vr> (2 entries)
--------------------------------------------------------------------------------------
         ID          IP-Prefix      Interface         Gateway   P Pref    Mtr     Vsys
--------------------------------------------------------------------------------------
          2     192.168.1.1/32        bgroup0         0.0.0.0   H    0      0     Root
          1     192.168.1.0/24        bgroup0         0.0.0.0   C    0      0     Root

ファームウェアもちっと古いけど、中古だし仕方ない。

まずはGUIでつなげるとこまでやる。

削除しないと設定ができないので、まずは削除。


ssg5-isdn-> unset interface bgroup0 ip
ssg5-isdn-> get interface

A - Active, I - Inactive, U - Up, D - Down, R - Ready

Interfaces in vsys Root:
Name           IP Address                        Zone        MAC            VLAN State VSD
bri0/0         0.0.0.0/0                         Untrust     N/A               -   D   -
eth0/0         0.0.0.0/0                         Untrust     2c6b.f505.3fc0    -   D   -
eth0/1         0.0.0.0/0                         DMZ         2c6b.f505.3fc5    -   U   -
bgroup0        0.0.0.0/0                         Trust       2c6b.f505.3fcb    -   D   -
  eth0/2       N/A                               N/A         N/A               -   D   -
  eth0/3       N/A                               N/A         N/A               -   D   -
  eth0/4       N/A                               N/A         N/A               -   D   -
  eth0/5       N/A                               N/A         N/A               -   D   -
  eth0/6       N/A                               N/A         N/A               -   D   -
bgroup1        0.0.0.0/0                         Null        2c6b.f505.3fcc    -   D   -
bgroup2        0.0.0.0/0                         Null        2c6b.f505.3fcd    -   D   -
bgroup3        0.0.0.0/0                         Null        2c6b.f505.3fce    -   D   -
vlan1          0.0.0.0/0                         VLAN        2c6b.f505.3fcf    1   D   -
null           0.0.0.0/0                         Null        N/A               -   U   -

そして、同じネットワークに設定する。

ssg5-isdn-> set interface bgroup0 ip 192.168.24.10/24

ssg5-isdn-> get interface

A - Active, I - Inactive, U - Up, D - Down, R - Ready

Interfaces in vsys Root:
Name           IP Address                        Zone        MAC            VLAN State VSD
bri0/0         0.0.0.0/0                         Untrust     N/A               -   D   -
eth0/0         0.0.0.0/0                         Untrust     2c6b.f505.3fc0    -   D   -
eth0/1         0.0.0.0/0                         DMZ         2c6b.f505.3fc5    -   U   -
bgroup0        192.168.24.10/24                  Trust       2c6b.f505.3fcb    -   D   -
  eth0/2       N/A                               N/A         N/A               -   D   -
  eth0/3       N/A                               N/A         N/A               -   D   -
  eth0/4       N/A                               N/A         N/A               -   D   -
  eth0/5       N/A                               N/A         N/A               -   D   -
  eth0/6       N/A                               N/A         N/A               -   D   -
bgroup1        0.0.0.0/0                         Null        2c6b.f505.3fcc    -   D   -
bgroup2        0.0.0.0/0                         Null        2c6b.f505.3fcd    -   D   -
bgroup3        0.0.0.0/0                         Null        2c6b.f505.3fce    -   D   -
vlan1          0.0.0.0/0                         VLAN        2c6b.f505.3fcf    1   D   -
null           0.0.0.0/0                         Null        N/A               -   U   -

ssg5-isdn-> get route

IPv4 Dest-Routes for <untrust-vr> (0 entries)
--------------------------------------------------------------------------------------
H: Host C: Connected S: Static A: Auto-Exported
I: Imported R: RIP/RIPng P: Permanent D: Auto-Discovered
N: NHRP
iB: IBGP eB: EBGP O: OSPF/OSPFv3 E1: OSPF external type 1
E2: OSPF/OSPFv3 external type 2 trailing B: backup route

IPv4 Dest-Routes for <trust-vr> (2 entries)
--------------------------------------------------------------------------------------
         ID          IP-Prefix      Interface         Gateway   P Pref    Mtr     Vsys
--------------------------------------------------------------------------------------
*         6   192.168.24.10/32        bgroup0         0.0.0.0   H    0      0     Root
          5    192.168.24.0/24        bgroup0         0.0.0.0   C    0      0     Root

これで仲間入りだね。
WindowsにPINGしてみる。


ssg5-isdn-> ping 192.168.24.53
Type escape sequence to abort

Sending 5, 100-byte ICMP Echos to 192.168.24.53, timeout is 1 seconds
!!!!!
Success Rate is 100 percent (5/5), round-trip time min/avg/max=2/2/2 ms

あ、saveは忘れずに。
それとLANケーブルはeth0/2以降につなごう。eth0/1に最初つないでて、繋がらないから焦ってしまった。
デフォルトだとeth0/1はDMZ、eth0/0はUntrustになっていた。

保守契約がないのでアップデートはできないけど、ファームウェアのバックアップだけやってみた。


ssg5-isdn-> get sys
Product Name: SSG5-ISDN
Serial Number: 0169122009001046, Control Number: 00000000
Hardware Version: 0710(0)-(00), FPGA checksum: 00000000, VLAN1 IP (0.0.0.0)
Flash Type: Samsung
Software Version: 6.3.0r13.0, Type: Firewall+VPN
Feature: AV-K
BOOT Loader Version: 1.3.2
Compiled by build_master at: Fri Dec 14 02:08:19 PST 2012
Base Mac: 2c6b.f505.3fc0
File Name: ssg5ssg20.6.3.0r13.0, Checksum: f03ef88f

ssg5-isdn-> save software from flash to tftp 192.168.24.53 ssg5ssg20.6.3.0r13.0


tftp transferred records = 26113
tftp success!

TFTP Succeeded
ssg5-isdn->

順番が逆になったけど、tftpサーバーはtftpd64というフリーソフトを使ってます。
Windows上で簡単にtftpサーバーが立てれるのです。

あとは、古いファームウェアには脆弱性があるのだが、Ping of Death Screen という召喚獣みたいな設定を有効にしておけば防げるので、いまのとこ外から見えるとこに置く予定はないけど、この設定はいれておこう。


ssg5-isdn-> set zone untrust screen ping-death

set zone "Untrust" screen tear-drop
set zone "Untrust" screen syn-flood
set zone "Untrust" screen ping-death
set zone "Untrust" screen ip-filter-src
set zone "Untrust" screen land

もしかしたら最初から有効だったかもしれないけど、まあいい。

あとはsaveしてやれば、LAN内からはつながるはずです。

これで色々といじくれるようになりました。

ざーっと見たけど、家庭用の1万円前後のルーター兼スイッチよりずいぶんと色々な機能が多い。
マニュアルも多いし。

ネットワーク関係のセキュリティもいっぱいあるんだなぁ。マニュアルを読むだけで色々と知識は増えそう。。今日はこのぐらいにしとくか。

 

Related Posts


投稿者: Takeken

インターネット利用者のITリテラシーを向上したいという設定の2次元キャラです。 サーバー弄りからプログラミングまで手を付けた自称エッセイストなたけけんの物語。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です