[index] AT-AR1050V コマンドリファレンス 5.5.4
モード: NATモード
カテゴリー: UTM / NAT
(config-nat)# rule [<1-65535>] masq {APPNAME|any} from SRC_ENTITY to DST_ENTITY [with src ADDR_ENTITY]
(config-nat)# rule [<1-65535>] netmap {APPNAME|any} from SRC_ENTITY to DST_ENTITY with {dst|src} NET_ENTITY
(config-nat)# rule [<1-65535>] portfwd {APPNAME|any} from SRC_ENTITY [to DST_ENTITY] with dst ADDR_ENTITY [dport <1-65535>]
(config-nat)# no rule {<1-65535>|all}
NATルールを追加する。
no形式で実行した場合は指定したルールを削除する。
ルールの指定にはエンティティーとアプリケーションの両定義を使用するが、これらの定義が不完全な場合(指定したアプリケーションやエンティティーが未定義である、アプリケーション定義でIPプロトコルが未指定、など)、該当ルールは有効にならないので注意。ルールが有効化どうかは、show nat rule config-checkコマンドでチェックできる。
なお、ルールの順番はmove ruleコマンドで変更可能。
<1-65535> |
ルール番号。省略時はリストの最後尾に新規ルールが追加される。このときのルール番号決定方法については「注意・補足事項」を参照 | ||||
masq |
NATアクションとしてダイナミックENAT(IPマスカレード)または「内 → 外」方向のスタティックNATを指定する。「SRC_ENTITY」が単一アドレスを表しており、なおかつ「with src ADDR_ENTITY」で本ルール専用の(他で使われていない)変換後アドレスが指定されている場合は、「SRC_ENTITY」から「DST_ENTITY」に宛てられた「APPNAME」トラフィックの始点IPアドレスだけを「ADDR_ENTITY」に変換するスタティックNATの動作となる。それ以外の場合は、「SRC_ENTITY」から「DST_ENTITY」に宛てられた「APPNAME」トラフィックの始点IPアドレスとポート番号を動的に変換するダイナミックENATの動作となる(ポート番号の変換は必要なときだけ行われる)。変換後のIPアドレスは、「with src ADDR_ENTITY」が指定されている場合はADDR_ENTITYに関連付けられたホストアドレス、そうでないときは、該当パケットの出力インターフェースのIPアドレスとなる | ||||
netmap |
NATアクションとしてサブネットベースNATを指定する。サブネットベースNATでは、「SRC_ENTITY」から「DST_ENTITY」に宛てられた「APPNAME」トラフィックにおいて、「with dst NET_ENTITY」が指定されている場合は終点アドレスのサブネット部だけを「NET_ENTITY」で指定されたものに、「with src NET_ENTITY」が指定されている場合は始点アドレスのサブネット部だけを「NET_ENTITY」で指定されたものに変換する。サブネットベースNATでは、アドレスのホスト部は変換されない | ||||
portfwd |
NATアクションとしてスタティックENAT(ポートフォワーディング)または「外 → 内」方向のスタティックNATを指定する。「DST_ENTITY」で本ルール専用の変換前アドレス(グローバル側アドレス)が指定されており、ポート変換の指定(dport)がない場合は、「SRC_ENTITY」から「DST_ENTITY」に宛てられた「APPNAME」トラフィックの終点IPアドレスだけを「ADDR_ENTITY」に変換するスタティックNATの動作となる。それ以外の場合は「SRC_ENTITY」から本製品に宛てられた「APPNAME」トラフィックの終点IPアドレスを「ADDR_ENTITY」のIPアドレスに変換して転送するスタティックENATの動作となる。このとき、ポート変換の指定(dport)があればTCP/UDPポート番号も変換する。スタティックENATは本製品宛てのIPv4パケットに対してのみ作用する | ||||
APPNAME |
制御対象のアプリケーション名。指定可能なアプリケーションはshow application detailで確認可能。詳細は解説編を参照 | ||||
any |
すべてのトラフィックをNAT対象にする | ||||
from SRC_ENTITY |
NAT対象トラフィックの送信元エンティティー名(show entityで一覧表示可能) | ||||
to DST_ENTITY |
NAT対象トラフィックの宛先エンティティー名(show entityで一覧表示可能) | ||||
with src ADDR_ENTITY |
ダイナミックENATおよび「内 → 外」方向のスタティックNATにおいて変換後のIPアドレスを表すエンティティー名(show entityで一覧表示可能)。「ゾーン.ネットワーク.ホスト」形式のホスト定義名で指定する。該当ホスト定義にはIPv4アドレス(ip address)を1つだけ関連付けること。アクションがmasqのときだけ有効。なお、本パラメーター省略時は、該当パケットの出力インターフェースのIPアドレスが変換後の始点アドレスとなる | ||||
with {dst|src} NET_ENTITY |
サブネットベースNATルールにおける変換後のサブネットアドレスを表すエンティティー名(show entityで一覧表示可能)。「ゾーン.ネットワーク」形式のネットワーク定義名で指定する。該当ネットワーク定義にはIPv4サブネット(ip subnet)を1つだけ関連付けること。「with dst」の場合は終点アドレスのサブネット部、「with src」の場合は始点アドレスのサブネット部が NET_ENTITY で指定したサブネットアドレスに変換される。アクションがnetmapのときだけ有効 | ||||
with dst ADDR_ENTITY |
スタティックENATおよび「外 → 内」方向のスタティックNATにおける転送先ホスト(変換後アドレス)のエンティティー名(show entityで一覧表示可能)。「ゾーン.ネットワーク.ホスト」形式のホスト定義名で指定する。該当ホスト定義にはIPv4アドレス(ip address)を1つだけ関連付けること。アクションがportfwdのときだけ有効 | ||||
dport <1-65535> |
スタティックENATにおいて、終点TCP/UDPポートを書き換えたい場合に変換後のポート番号を指定する。未指定時は終点TCP/UDPポートの書き換えは行わない | ||||
all |
no形式ですべてのNATルールを削除するときに指定する |
■ ゾーン「private」から「public」へのトラフィックにダイナミックENATを適用するNATルールを追加する。
awplus(config-nat)# rule masq any from private to public ↓
awplus(config-nat)# rule netmap any from private.netA1 to private.netB2 with src private.netB1 ↓
awplus(config-nat)# rule portfwd http from public with dst private.wired.webhost ↓
awplus(config-nat)# rule portfwd any from private.lan.srcA to private.lan.dstA with dst public.wan.dstB ↓ awplus(config-nat)# rule masq any from private.lan.srcA to public.wan.dstB with src public.wan.srcB ↓
awplus(config-nat)# no nat rule 20 ↓
■ ルールの処理順序については解説編を参照。
■ 本コマンドでルール番号を指定しなかったときはリストの最後尾に新規ルールが追加される。このときのルール番号は次のようにして決まる。
nat (グローバルコンフィグモード) | +- rule(NATモード)
application(グローバルコンフィグモード)
move rule(NATモード)
show application(特権EXECモード)
show application detail(特権EXECモード)
show entity(特権EXECモード)
show nat rule(特権EXECモード)
show nat rule config-check(特権EXECモード)
zone(グローバルコンフィグモード)
(C) 2019 - 2024 アライドテレシスホールディングス株式会社
PN: 613-002735 Rev.AD