我最近遇到这样一个项目，使用NS204 防火墙，正好用户只有一个公网IP地址，使用NS防火墙就只能实现内到外的地址翻译，不能实现从外向内的地址映射和端口映射。
非常之郁闷，最后的结论是NS204 以上的型号防火墙MIP IP和VIP地址不能和外口是一个地址，也就是必须最少2个以上的公网地址才行。而在5GT、5XP底端型号中是可以实现的。
大家以后在作项目的时候要注意一下这个问题

是版本的问题吗?升级一下OS试试?

同意楼上的。我遇到过Netscreen25用ADSL拨号的时候，不能够设置VIP。而升级版本后，就多了一个选项，意思是“使用ADSL拨号获得的IP”。

通常如果只有一个公网IP，那VIP是没办法，但端口转发都是可以的。因为一般情况如果做了VIP，它就会把发往这个IP的所以数据全部转发到内网某一IP，如果只有一个公网IP，如此可能会造成一些麻烦。
   但是有些防火墙或宽带路由可以由一个公网IP同时实现这两个功能，但是，他会有一个优先级，通常是端口转发高于VIP。

引用:

Originally posted by mzwa at 2005-7-27 02:22 PM:
我最近遇到这样一个项目，使用NS204 防火墙，正好用户只有一个公网IP地址，使用NS防火墙就只能实现内到外的地址翻译，不能实现从外向内的地址映射和端口映射。
非常之郁闷，最后的结论是NS204 以上的型号防火墙 ...

和厂家作的确认？

引用:

Originally posted by DragonGo at 2005-7-28 14:45:

和厂家作的确认？

我当时就和厂家的工程师确认过了，回答是NS现在系列中只有5gt可以支持，其它的都不行。以前系列中的5xp也可以。只所以这样设计的原因是厂家认为能用204的用户静态IP地址肯定不止1个。这种想法不敢。。。

引用:

Originally posted by mzwa at 2005-7-30 10:10 AM:
我当时就和厂家的工程师确认过了，回答是NS现在系列中只有5gt可以支持，其它的都不行。

不会啊，我的一个客户用的是Netscreen25，他只有一个公网IP，MIP和VIP都没有问题。

引用:

Originally posted by dahliawoo at 2005-7-30 10:33:

不会啊，我的一个客户用的是Netscreen25，他只有一个公网IP，MIP和VIP都没有问题。

刚才我说的可能不准确，厂家说的是204以上，包含204的都不支持这个功能

同意楼主，也碰到此问题

坛子上面很多的人对Netscreen的防火墙评价都是比较高的，它突出的特点是稳定。但是一些非常复杂的应用环境下，很多朋友就不知道如何来配置了。这个帖子的目的就是把大家遇到的关于NS的疑难杂症那出来大家解决。

很久没有用过NS的产品了。
经前用的时候，有个问题，就是一台25，在使用的时候一会儿alarm灯就亮了，手工用命令清除掉后，一会儿又亮，怀疑是攻击不断。但偏偏是这时换用另一台25上去，却一切正常，NS25恢复过N次，交换机的ARP也清过N次，问题依旧，搞不懂是怎么回事，最后将25发给上家，了事！
一直没弄懂，晕！

你的原来的25是什么版本的？
我认为问题应该出在你在Screen里面的设置，2台25的设置肯定是不一样的。
如果还能管理那台设备的话去看看Screen的设置

怎么把这个重要的帖子置顶了，反而没有人来了，呵呵！！！

给大家提个问题：NS在双出口接入的时候应该怎么来配置？

偶第一次配置NetScreen204,客户环境比较简单,但是偶遇到一奇怪问题.
环境简要描述:E1接内网,内部有2个网段;E3接外口,分配有公网IP,要求实现内网访问外网即可,即仅做NAT即可.
偶虽然第一次配置NetScreen,通过向导配置好接口,添加路由,策略,还算顺利.但是在测试时,发现内网客户机可以PING通默认路由-即下一跳地址(即0.0.0.0 255.255.255.255 61.13.26.35地址假设),但是PING公网上其他IP时结果超时,遂登录防火墙来PING默认路由地址即下一跳地址61.13.26.35,可以PING通,但是同样PING公网其他IP,结果超时,防火墙PING内部网络客户即均可以PING通(此处可以看出内部的回指路由应该没有问题).
偶在此不解的是,为何偶配置好后,为何可以PING通下一跳地址(内网客户机也可以PING通下一跳地址),但是为何就是不能PING通公网IP呢(当然也不能访问INTERNET服务)?偶实是不解,希望高手帮忙解答.偶换过接口也同样结果.换用原有瑞星防火墙没有问题(配置一样).

0.0.0.0 255.255.255.255 61.13.26.35,这是你的默认路由吗？是你写错了还是你配置错了？俺没有用过NETSCREEN，但是通常来讲，只有做ACL中的反掩码才有这种写法的呀？

引用:

Originally posted by mzwa at 2005-8-8 08:41 AM:
给大家提个问题：NS在双出口接入的时候应该怎么来配置？

这个问题俺想应该没有难度的，只要你的防火墙有两WAN口，就可以配置的，现在俺把问题改一改，就是说，当你的防火墙只有一个WAN口的时候，而你又有双线路，应该怎么着才能把他配上去？

引用:

Originally posted by jingshne at 2005-8-14 20:49:
0.0.0.0 255.255.255.255 61.13.26.35,这是你的默认路由吗？是你写错了还是你配置错了？俺没有用过NETSCREEN，但是通常来讲，只有做ACL中的反掩码才有这种写法的呀？

偶打错了，太急了。。是0.0.0.0　0.0.0.0　61.13.26.35。。
顺便说一下，偶的这条路由是加在untrust这个里面的。内网的回指路由添加在trust里面，不知道跟这个有关系么？？是否加错了

[ Last edited by 1259 on 2005-8-15 at 10:17 ]

引用:

Originally posted by 1259 at 2005-8-15 09:46:



偶打错了，太急了。。是0.0.0.0　0.0.0.0　61.13.26.35。。
顺便说一下，偶的这条路由是加在untrust这个里面的。内网的回指路由添加在trust里面，不知道跟这个有关系么？？是否加错了

[ Last edited  ...

那样加没有错的，
先把你的配置传上来看看好吗，记住把真实的ip改掉

引用:

Originally posted by 1259 at 2005-8-13 22:13:
偶第一次配置NetScreen204,客户环境比较简单,但是偶遇到一奇怪问题.
环境简要描述:E1接内网,内部有2个网段;E3接外口,分配有公网IP,要求实现内网访问外网即可,即仅做NAT即可.
偶虽然第一次配置NetScreen,通过向 ...

防火墙PING内部网络客户即均可以PING通(此处可以看出内部的回指路由应该没有问题).
这样你ping通的是和防火墙内口的那个网段的地址码？把你的回指路有叫我看看