大家好

我这里有一台NS5GT的设备,自从接上去以后就没有正常过.现象是:过个1个小时左右从外网接口(untrust)无法访问防火
墙了,就连PING也不能通,然后只要把外网接口(untrust)接口的网线拔下来,然后在接上去就正常了.如果不拔外网接口的网线的话就无法从外网接口进去.  里面也没有做什么配置    这是什么原因啊????????????
只做了一个L2TP VPN,然后做了几个映射.

以下就完整的配置

ns5gt-> get config
Total Config size 4498:
set clock timezone 7
set vrouter trust-vr sharable
set vrouter "untrust-vr"
exit
set vrouter "trust-vr"
unset auto-route-export
exit
set service "3389" protocol tcp src-port 0-65535 dst-port 3389-3389
set auth-server "Local" id 0
set auth-server "Local" server-name "Local"
set auth default auth server "Local"
set auth radius accounting port 1646
set admin name "netscreen"
set admin password "nKVUM2rwMUzPcrkG5sWIHdCtqkAibn"
set admin auth timeout 10
set admin auth server "Local"
set admin format dos
set zone "Trust" vrouter "trust-vr"
set zone "Untrust" vrouter "trust-vr"
set zone "VLAN" vrouter "trust-vr"
set zone "Untrust-Tun" vrouter "trust-vr"
set zone "Trust" tcp-rst
set zone "Untrust" block
unset zone "Untrust" tcp-rst
set zone "MGT" block
set zone "VLAN" block
unset zone "VLAN" tcp-rst
set zone "Untrust" screen tear-drop
set zone "Untrust" screen syn-flood
set zone "Untrust" screen ping-death
set zone "Untrust" screen ip-filter-src
set zone "Untrust" screen land
set zone "V1-Untrust" screen tear-drop
set zone "V1-Untrust" screen syn-flood
set zone "V1-Untrust" screen ping-death
set zone "V1-Untrust" screen ip-filter-src
set zone "V1-Untrust" screen land
set interface "trust" zone "Trust"
set interface "untrust" zone "Untrust"
unset interface vlan1 ip
set interface trust ip 192.168.0.1/24
set interface trust nat
set interface untrust ip x.x.x.x/24
set interface untrust route
unset interface vlan1 bypass-others-ipsec
unset interface vlan1 bypass-non-ip
set interface trust ip manageable
set interface untrust ip manageable
set interface untrust manage ping
set interface untrust manage ssh
set interface untrust manage telnet
set interface untrust manage snmp
set interface untrust manage ssl
set interface untrust manage web
set interface untrust vip untrust 21 "FTP" 192.168.0.2
set interface untrust vip untrust 3389 "3389" 192.168.0.2
set interface trust dhcp server service
set interface trust dhcp server auto
set interface trust dhcp server option gateway 192.168.0.1
set interface trust dhcp server option netmask 255.255.255.0
set interface trust dhcp server option dns1 61.153.224.8
set interface trust dhcp server ip 192.168.0.2 to 192.168.0.254
unset interface trust dhcp server config next-server-ip
set flow tcp-mss
unset flow no-tcp-seq-check
set flow tcp-syn-check
set pki authority default scep mode "auto"
set pki x509 default cert-path partial
set ippool "L2TP VPN" 10.10.10.2 10.10.10.254
set user "PHILIPS" uid 2
set user "PHILIPS" type  ike l2tp
set user "PHILIPS" password "Uz/x0r61N8dyoss/3kCfegrBN1nYWoc2Kw=="
unset user "PHILIPS" type auth
set user "PHILIPS" "enable"
set user "winscom" uid 1
set user "winscom" ike-id fqdn "www.winscom.com" share-limit 1
set user "winscom" type  ike l2tp
set user "winscom" password "wz6ynN10NFYJZhs7DrCt2fQ0zEn1yjXYBA=="
unset user "winscom" type auth
set user "winscom" "enable"
set user-group "group01" id 1
set user-group "group01" user "PHILIPS"
set user-group "group01" user "winscom"
set ike respond-bad-spi 1
unset ike ikeid-enumeration
unset ike dos-protection
unset ipsec access-session enable
set ipsec access-session maximum 5000
set ipsec access-session upper-threshold 0
set ipsec access-session lower-threshold 0
set ipsec access-session dead-p2-sa-timeout 0
unset ipsec access-session log-error
unset ipsec access-session info-exch-connected
unset ipsec access-session use-error-log
set l2tp default dns1 220.189.127.106
set l2tp default ippool "L2TP VPN"
set l2tp "L2TP" id 1 outgoing-interface untrust keepalive 60
set l2tp "L2TP" remote-setting ippool "L2TP VPN"
set url protocol websense
exit
set policy id 2 from "Untrust" to "Trust"  "Dial-Up VPN" "Any" "ANY" tunnel l2tp "L2TP" log
set policy id 2
exit
set policy id 5 from "Untrust" to "Trust"  "Any" "VIP(untrust)" "FTP" permit log
set policy id 5
exit
set policy id 6 from "Untrust" to "Trust"  "Any" "VIP(untrust)" "3389" permit log
set policy id 6
exit
set nsmgmt bulkcli reboot-timeout 60
set ssh version v2
set config lock timeout 5
set modem speed 115200
set modem retry 3
set modem interval 10
set modem idle-time 10
set snmp port listen 161
set snmp port trap 162
set vrouter "untrust-vr"
exit
set vrouter "trust-vr"
unset add-default-route
set route 0.0.0.0/0 interface untrust gateway x.x.x.x preference 20
exit
set vrouter "untrust-vr"
exit
set vrouter "trust-vr"
exit
ns5gt->

看看syn-flood值是不是设得太小了?有时syn-flood值设得太小就会这样

syn-flood适中就行了。如果我记得没错的话，比如，syn-flood的值是1-65535包/秒，如果太低，平时的PING访问都被阻止了，如果太高，又无法有效防范，就用系统默认值就行了，你不用去改他。默认值是1000.

如果你有一个较大的网络运行于internet上，则应该调整路由器的配置，这是比较有效的手段。攻击的恶意报文主要分为SYN flood,UDP flood和ICMP flood几种形式，通过在路由器上设置 TCP interception feature (TCP拦截)，可以有效地防御SYN flood；对于非法的UDP和ICMP报文，加以严格限制或者禁止。尤其应该禁止 outgoing ICMP unreach message。(回应的目标不可到达的ICMP信息包)；将TCP超时连接值限制在600秒以内，以防止半连接攻击。

Netscreen-100防火墙的基本配置流程


NetScreen系列产品，是应用非常广泛的NAT设备。NetScreen－100就是其中的一种。
NetScreen-100是个长方形的黑匣子，其正面面板上有四个接口。左边一个是DB25串口，右

边三个是以太网网口，从左向右依次为Trust Interface、DMZ Interface、Untrust Interface。其中Trust Interface相当于HUB口，下行连接内部网络设备。Untrust Interface相当于主机口，上行连接上公网的路由器等外部网关设备；两端口速率自适应（10M/100M）。DMZ Interface介绍从略。

配置前的准备
1. PC机通过直通网线与Trust Interface相连，用IE登录设备主页。设备缺省IP为192.168.1.1/255.255.255.0，用户名和密码都为netscreen ；
2. 登录成功后修改System 的IP和掩码，建议修改成与内部网段同网段，也可直接使用分配给Trust Interface的地 址。 修改完毕点击ok，设备会重启；
3. 把PC的地址改为与设备新的地址同网段，重新登录，即可进行配置
4. 也可通过串口登录，在超级终端上通过命令行修改System IP

数据配置
数据配置包括三部分内容：Policy、Interface、Route Table。
1. 配置Policy
用IE登陆NetScreen，在配置界面上，依次点击左边竖列中的Network–〉Policy，然 后选中Outgoing。如系统原有的与此不同，可点击表中最后一列的Remove来删除掉，然后点击左下角的New Policy， 重新设置。
2. 配置Interface
在配置界面上，依次点击左边竖列中的Configure–〉Interface选项，则显示如下所示的配置界面，其中主要是配置Trust Interface、Untrust Interface，必要时修改System IP。

在 Interface配置图当中;
说明：
1. Trust Interface下面的Inside IP，即指端口本身的IP。因为该端口是设备用以与局域网内部相连的，所以就相当于是设备对内的端口，故此把该端口的IP 就叫做设备的Inside IP。同理，Untrust Interface下面的Outside IP也是指该端口的IP ，因为该端口是面向局域网外部的；Trust Interface下面的Default Gateway，指局域网内部与Trust Interace相连的设备的接口的地址。在本例中即是上行口的地址。Untrust Interface下面的Default Gateway是指外出上公网的网关地址（即NAT的下一跳），本例中指与NAT相连的路由器的接口地址
2. 在接口的配置选项中，Traffic Bandwidth选项是对该端口传输带宽的描述，不用设置。因为两端口都是自适应的，会根据所连对端端口的带宽而自动调整。
3. 在Enable的选项中，Trust Interface端口按照缺省的选择即可。而Untrust Interface因为面对公网，为安全起见，应当把ping、telnet等性能屏蔽掉， 不要选择。只有当有必要进行远程维护时，才把telnet选中。
4. 对于System IP，当第一次登录后把它修改为与Trust Interface或Untrust Interface的IP 在同一网段，则用户就只能从Trust Interface或Untrust Interface登录。为了实现从两个端口都可登陆，以便管理，需要在上述界面上把System IP 的值改为0.0.0.0
5. Untrust Interface和Trust Interface配置内容完全一样，上面的例图由于是用PrtSc屏拷下来的，不能把Untrust Interface的配置内容拷全，特此说明。
3. 配置Route Table
在配置界面上，依次点击左边竖列中的Configure –〉Route Table选项，则显示图5所示界面。

系统要正常运行，在NAT内部有两条路由是必不可少的，一条是去内部网段下面的用户网段的 路由，其网关是与NAT相连的接口的地址。该路由为：10.10.0.0 255.255.0.0 10.100.0.1 Trust ；另一条是去外部公网的缺省路由，其网关是与NAT 相连的外部路由器的接口地址。该路由为： 0.0.0.0 0.0.0.0 202.99.6.193 Untrust。

从路由表中可以看出，后一条路由是系统缺省自动生成的，所以只需手工添加的第一条路由。点击界面左下角的New Entry创建新的路由。对于已生成的路由，可以通过点击Edit、Remove进行修改或删除。
至此，所有配置全部完成。

netscreen 配置文档


1、进入字符配置界面：
用随机带的CONSOLE线，一头接计算机串口，一头接E1端口，在计算机上打开超级终端进行配置，用户名，密码都是netscreen。

2、进入WEB配置界面：
用交叉网线连接E1和计算机的网卡，将计算机IP改成192.168.1.2（与E1端口在同一网段）。打开IE浏览器输入http:/192.168.1.11（192.168.1.11为E1端口管理IP），用户名，密码都是netscreen。

3、配置端口IP和管理IP：
E1：内部网端口
端口IP192.168.1.20和管理IP192.168.1.11
更改为当地内部网的IP地址,E1的端口IP设为当地内部网网关，管理IP用于在内部网管理netscreen防火墙。

E3: 外网端口
端口IP192.168.42.66和管理IP192.168.42.68
更改为当地电信所分配的IP地址，E3的管理IP用于外网管理者在INTERNET上配置和管理netscreen防火墙。


4、配置由内网到外网的NAT：
在E3端口上配置NAT，用于将内部网地址转换成当地电信所分配的公网IP地址，以便访问INTERNET信息。

1. Network > Interfaces > Edit（对于ethernet1）：输入以下内容，然后单击OK：
Zone Name: Trust
IP Address/Netmask: 172.16.40.11/24（当地内部网网关IP）

2. Network > Interfaces > Edit（对于ethernet3）：输入以下内容，然后单击OK：
Zone Name: Untrust
IP Address/Netmask: 215.3.4.11/24(当地电信所分配的IP地址)。

3. Network > Interfaces > Edit（对于ethernet3）> DIP > New：输入以下内容，然后单击OK：
ID: 6
IP Address Range
Start: 215.3.4.12（当地电信所分配的IP地址）
End: 215.3.4.210（当地电信所分配的IP地址，这是一个地址池，可大可小）
Port Translation: Enable

4. Policies > (From: Untrust, To: Trust) > New：输入以下内容，
然后单击OK：
Source Address:
Address Book: （选择） , Any
Destination Address:
Address Book: （选择） , Any
Service: Any
Action: Permit
> Advanced: 输入以下内容，然后单击Return，设置高级选项并返回基本配置页：
NAT: On
DIP On:（选择） , 6 (215.3.4.12–215.3.4.210)：上一步设的地址池。

5、配置由外网到内网的VIP：
在E3端口上配置VIP，可将一个外网IP和端口号对应到一个内网IP。通过这种方法可以将WEB服务器，邮件服务器或其他服务放到内网，而从外网只看到一个公网IP，增加安全性。

1. Network > Interfaces > Edit（对于ethernet1）：输入以下内容，然后单击Apply：
Zone Name: Trust
IP Address/Netmask: 10.1.1.1/24（当地内部网网关IP）

2. Network > Interfaces > Edit（对于ethernet3）：输入以下内容，然后单击OK：
Zone Name: Untrust
IP Address/Netmask: 210.1.1.1/24（当地电信所分配的IP地址）

VIP
3. Network > Interfaces > Edit（对于ethernet3）> VIP：输入以下地址，然后单击Add：
Virtual IP Address: 210.1.1.10（对外的服务器地址）

4. Network > Interfaces > Edit（对于ethernet3）> VIP > New VIP Service：输入以下内容，然后单击OK：
Virtual Port: 80
Map to Service: HTTP (80)：（此例为WEB服务器的配置，如果是其他的服务器，就加入其服务与对应的端口号）
Map to IP: 10.1.1.10（此为服务器本身IP，内网IP）

策略
5. Policies > (From: Untrust, To: Global) > New：输入以下内容，然后单击OK：
Source Address:
Address Book:（选择）, ANY
Destination Address:
Address Book:（选择）, VIP(210.1.1.10)：对外服务器地址
Service: HTTP（WEB服务器选项）
Action: Permit


==========================================
此外,也可以看看这里:

是不是在防火墙里面禁止了你用的那个特定的IP上网啦？我单位用的防火墙也是这样，下载的时候因为防火墙质量不是很好，所以下载链接一多就会时断时续，可以登录一下防火墙看一下配置，如上网列表或者mac-ip绑定之类的！