[index] AT-AR3050S/AT-AR4050S/AT-AR4050S-5G コマンドリファレンス 5.5.4
Noteブリッジングパケットは初期設定では本機能の適用対象外ですが、ソフトウェアブリッジに l3-filtering enableを設定している場合は、該当ソフトウェアブリッジでブリッジされるL3トラフィックに対して本機能が適用されるようになります。
NoteNAT機能の対象はIPv4パケットだけです。IPv6には対応していません。
Note本製品のNAT機能は、IPsec、PPTP、L2TPのパススルーに対応しているため、配下の装置から外部に対して、これらのプロトコルを使用したVPN接続が可能です。
NoteNATルールの適用タイミングは、NATアクションによって次のように異なります。
- portfwd, netmap with dst - ファイアウォールルールの前に適用
- masq, netmap with src - ファイアウォールルールの後に適用
設定によっては、同一のトラフィックに対して2つのNATアクションが適用される場合がありますので、不要なNATルールが適用されないようエンティティー定義を考慮してください。
また、各NATルールの処理順序については、「ルールの処理順序」もご覧ください。
Note以下のコマンド例では、外部ゾーン「public」と内部ゾーン「private」を定義するコマンドは、各ゾーンにおいて他の設定が必要な場合を除き省略しています。「エンティティー」定義の詳細については、「UTM」/「エンティティー定義」をご覧ください。
awplus(config)# nat ↓ awplus(config-nat)# rule masq any from private to public ↓ awplus(config-nat)# enable ↓この例において、
NoteNAT機能でもルール設定時にアプリケーションの指定を行いますが、NATルールではアプリケーションコントロール(DPI)によって判別されたアプリケーションは指定できません。ruleコマンド(NATモード)でNAT対象トラフィックを指定するときは、あらかじめ定義されている事前定義済みアプリケーションか、applicationコマンドで定義するカスタムアプリケーション、あるいは、すべてを意味する「any」キーワードを指定してください。
awplus(config)# zone public ↓ awplus(config-zone)# network wan ↓ awplus(config-network)# ip subnet 0.0.0.0/0 interface ppp0 ↓ awplus(config-network)# host enat ↓ awplus(config-host)# ip address 10.0.0.1 ↓ awplus(config-host)# exit ↓ awplus(config-network)# exit ↓ awplus(config-zone)# exit ↓
awplus(config)# nat ↓ awplus(config-nat)# rule masq any from private to public with src public.wan.enat ↓ awplus(config-nat)# enable ↓この例において、
NoteNAT機能でもルール設定時にアプリケーションの指定を行いますが、NATルールではアプリケーションコントロール(DPI)によって判別されたアプリケーションは指定できません。ruleコマンド(NATモード)でNAT対象トラフィックを指定するときは、あらかじめ定義されている事前定義済みアプリケーションか、applicationコマンドで定義するカスタムアプリケーション、あるいは、すべてを意味する「any」キーワードを指定してください。
Note「with src」で指定するホスト定義にはIPv4アドレス(ip address)を1つだけ関連付けるようにしてください。「with src」は変換後のIPアドレスです。
awplus(config)# firewall ↓ awplus(config-firewall)# rule permit any from private to public ↓
NoteスタティックENATルールにおいて転送後(変換後)のTCP/UDPポートを指定しない場合、ポート番号は変更しません。また、ICMPなどTCP/UDP以外のパケットに対しても、終点IPアドレスの書き換え(指定ホストへの転送)を行います。
awplus(config)# nat ↓ awplus(config-nat)# rule portfwd http from public with dst dmz.servernet.web ↓ awplus(config-nat)# enable ↓この例において、
NoteNAT機能でもルール設定時にアプリケーションの指定を行いますが、NATルールではアプリケーションコントロール(DPI)によって判別されたアプリケーションは指定できません。ruleコマンド(NATモード)でNAT対象トラフィックを指定するときは、あらかじめ定義されている事前定義済みアプリケーションか、applicationコマンドで定義するカスタムアプリケーション、あるいは、すべてを意味する「any」キーワードを指定してください。
Note「with dst」で指定するホスト定義にはIPv4アドレス(ip address)を1つだけ関連付けるようにしてください。「with dst」は転送先(変換後)のIPアドレスです。
awplus(config)# nat ↓ awplus(config-nat)# rule portfwd http from public with dst dmz.servernet.web dport 8080 ↓ awplus(config-nat)# enable ↓この例において、
NoteNAT機能でもルール設定時にアプリケーションの指定を行いますが、NATルールではアプリケーションコントロール(DPI)によって判別されたアプリケーションは指定できません。ruleコマンド(NATモード)でNAT対象トラフィックを指定するときは、あらかじめ定義されている事前定義済みアプリケーションか、applicationコマンドで定義するカスタムアプリケーション、あるいは、すべてを意味する「any」キーワードを指定してください。
Note「with dst」で指定するホスト定義にはIPv4アドレス(ip address)を1つだけ関連付けるようにしてください。「with dst」は転送先(変換後)のIPアドレスです。
awplus(config)# application http-8080 ↓ awplus(config-application)# protocol tcp ↓ awplus(config-application)# dport 8080 ↓ awplus(config-application)# exit ↓ awplus(config)# firewall ↓ awplus(config-firewall)# rule permit http-8080 from public to dmz.servernet.web ↓
awplus(config)# zone global ↓ awplus(config-zone)# network ip8 ↓ awplus(config-network)# ip subnet 10.0.0.0/29 ↓ awplus(config-network)# host addr2 ↓ awplus(config-host)# ip address 10.0.0.2 ↓ awplus(config-host)# exit ↓ awplus(config-network)# exit ↓ awplus(config-zone)# exit ↓ awplus(config)# zone private ↓ awplus(config-zone)# network lan ↓ awplus(config-network)# ip subnet 192.168.10.0/24 ↓ awplus(config-network)# host server2 ↓ awplus(config-host)# ip address 192.168.10.2 ↓ awplus(config-host)# exit ↓ awplus(config-network)# exit ↓ awplus(config-zone)# exit ↓
awplus(config)# nat ↓ awplus(config-nat)# rule portfwd any from public to global.ip8.addr2 with dst private.lan.server2 ↓ awplus(config-nat)# enable ↓この例において、
NoteNAT機能でもルール設定時にアプリケーションの指定を行いますが、NATルールではアプリケーションコントロール(DPI)によって判別されたアプリケーションは指定できません。ruleコマンド(NATモード)でNAT対象トラフィックを指定するときは、あらかじめ定義されている事前定義済みアプリケーションか、applicationコマンドで定義するカスタムアプリケーション、あるいは、すべてを意味する「any」キーワードを指定してください。
Note「to」、「with dst」で指定するホスト定義にはIPv4アドレス(ip address)を1つだけ関連付けるようにしてください。「to」は外部に見える変換前のグローバルIPアドレス、「with dst」は内部でしか見えない変換後のプライベートIPアドレスです。
Note外側のEthernetインターフェースに直接IPアドレスを割り当てた構成において、「宛先エンティティー(変換前のグローバルIPアドレス)(ホスト)」にインターフェースのIPアドレスと異なるIPアドレスを使用する場合は、プロキシーARPの設定が必須です。
awplus(config)# firewall ↓ awplus(config-firewall)# rule permit any from public to private.lan.server2 ↓
awplus(config)# zone global ↓ awplus(config-zone)# network ip8 ↓ awplus(config-network)# ip subnet 10.0.0.0/29 ↓ awplus(config-network)# host addr2 ↓ awplus(config-host)# ip address 10.0.0.2 ↓ awplus(config-host)# exit ↓ awplus(config-network)# exit ↓ awplus(config-zone)# exit ↓ awplus(config)# zone private ↓ awplus(config-zone)# network lan ↓ awplus(config-network)# ip subnet 192.168.10.0/24 ↓ awplus(config-network)# host server2 ↓ awplus(config-host)# ip address 192.168.10.2 ↓ awplus(config-host)# exit ↓ awplus(config-network)# exit ↓ awplus(config-zone)# exit ↓
awplus(config)# nat ↓ awplus(config-nat)# rule masq any from private.lan.server2 to public with src global.ip8.addr2 ↓ awplus(config-nat)# enable ↓この例において、
NoteNAT機能でもルール設定時にアプリケーションの指定を行いますが、NATルールではアプリケーションコントロール(DPI)によって判別されたアプリケーションは指定できません。ruleコマンド(NATモード)でNAT対象トラフィックを指定するときは、あらかじめ定義されている事前定義済みアプリケーションか、applicationコマンドで定義するカスタムアプリケーション、あるいは、すべてを意味する「any」キーワードを指定してください。
Note「from」、「with src」で指定するホスト定義にはIPv4アドレス(ip address)を1つだけ関連付けるようにしてください。「from」は内部でしか見えない変換前のプライベートIPアドレス、「with src」は外部から見える変換後のグローバルIPアドレスです。
Note外側のEthernetインターフェースに直接IPアドレスを割り当てた構成において、「変換後のグローバルIPアドレス(ホスト)」にインターフェースのIPアドレスと異なるIPアドレスを使用する場合は、プロキシーARPの設定が必須です。
awplus(config)# firewall ↓ awplus(config-firewall)# rule permit any from private.lan.server2 to public ↓ただし、内部から外部への通信に対しては通常次のようなルールを設定するため、このようなルールが存在しており、なおかつ、前記のルールを包含しているのであれば、前記のルールは不要です。
awplus(config-firewall)# rule permit any from private to public ↓
awplus(config)# zone private ↓ awplus(config-zone)# network lan ↓ awplus(config-network)# ip subnet 192.168.10.0/24 ↓ awplus(config-network)# host vlan10-ip ↓ awplus(config-host)# ip address 192.168.10.2 ↓ awplus(config-host)# exit ↓ awplus(config-network)# host hostA ↓ awplus(config-host)# ip address 192.168.10.100 ↓ awplus(config-host)# exit ↓ awplus(config-network)# exit ↓ awplus(config-zone)# exit ↓ awplus(config)# zone public ↓ awplus(config-zone)# network wan ↓ awplus(config-network)# ip subnet 0.0.0.0/0 interface ppp0 ↓ awplus(config-network)# host hostA ↓ awplus(config-host)# ip address 10.100.100.100 ↓ awplus(config-host)# exit ↓ awplus(config-network)# host ppp0-ip ↓ awplus(config-host)# ip address 10.10.10.1 ↓ awplus(config-host)# exit ↓ awplus(config-network)# exit ↓ awplus(config-zone)# exit ↓ awplus(config)# zone nat ↓ awplus(config-zone)# network lan ↓ awplus(config-network)# ip subnet 192.168.20.0/24 ↓ awplus(config-network)# host hostA ↓ awplus(config-host)# ip address 192.168.20.2 ↓ awplus(config-host)# exit ↓ awplus(config-network)# exit ↓ awplus(config-zone)# exit ↓
awplus(config)# nat ↓ awplus(config-nat)# rule portfwd any from public.wan.hostA to public.wan.ppp0-ip with dst private.lan.hostA ↓ awplus(config-nat)# rule masq any from public.wan.hostA to private.lan.hostA with src private.lan.vlan10-ip ↓ awplus(config-nat)# enable ↓
awplus(config)# firewall ↓ awplus(config-firewall)# rule permit any from public.wan.hostA to private.lan.hostA ↓
awplus(config)# nat ↓ awplus(config-nat)# rule portfwd any from private.lan.hostA to nat.lan.hostA with dst public.wan.hostA ↓ awplus(config-nat)# rule masq any from private.lan.hostA to public.wan.hostA with src public.wan.ppp0-ip ↓ awplus(config-nat)# enable ↓この例において、
awplus(config)# firewall ↓ awplus(config-firewall)# rule permit any from private.lan.hostA to public.wan.hostA ↓ただし、内部から外部への通信に対しては通常次のようなルールを設定するため、このようなルールが存在しており、なおかつ、前記のルールを包含しているのであれば、前記のルールは不要です。
awplus(config-firewall)# rule permit any from private to public ↓
NoteNAT機能でもルール設定時にアプリケーションの指定を行いますが、NATルールではアプリケーションコントロール(DPI)によって判別されたアプリケーションは指定できません。ruleコマンド(NATモード)でNAT対象トラフィックを指定するときは、あらかじめ定義されている事前定義済みアプリケーションか、applicationコマンドで定義するカスタムアプリケーション、あるいは、すべてを意味する「any」キーワードを指定してください。
Note「with dst」、「with src」で指定するホスト定義にはIPv4アドレス(ip address)を1つだけ関連付けるようにしてください。「with dst」は変換後の終点IPアドレス、「with src」は変換後の始点IPアドレスです。
Note外側・内側のEthernetインターフェースに直接IPアドレスを割り当てた構成において、「変換後の始点IPアドレス(ホスト)」にインターフェースのIPアドレスと異なるIPアドレスを使用する場合は、プロキシーARPの設定が必須です。
NoteサブネットベースNAT(netmapアクション)は以下の機能と併用できません。
awplus(config)# zone private ↓ awplus(config-zone)# network netA1 ↓ awplus(config-network)# ip subnet 192.168.10.0/24 ↓ awplus(config-network)# exit ↓ awplus(config-zone)# network netB2 ↓ awplus(config-network)# ip subnet 172.16.20.0/24 ↓ awplus(config-network)# exit ↓ awplus(config-zone)# network netB1 ↓ awplus(config-network)# ip subnet 172.16.10.0/24 ↓ awplus(config-network)# exit ↓ awplus(config-zone)# exit ↓
awplus(config)# nat ↓ awplus(config-nat)# rule netmap any from private.netA1 to private.netB2 with src private.netB1 ↓ awplus(config-nat)# enable ↓この例において、
NoteNAT機能でもルール設定時にアプリケーションの指定を行いますが、NATルールではアプリケーションコントロール(DPI)によって判別されたアプリケーションは指定できません。ruleコマンド(NATモード)でNAT対象トラフィックを指定するときは、あらかじめ定義されている事前定義済みアプリケーションか、applicationコマンドで定義するカスタムアプリケーション、あるいは、すべてを意味する「any」キーワードを指定してください。
Note「with dst」、「with src」で指定するホスト定義にはIPv4アドレス(ip address)を1つだけ関連付けるようにしてください。「with dst」は変換後の終点IPアドレス、「with src」は変換後の始点IPアドレスです。
Note外側・内側のEthernetインターフェースに直接IPアドレスを割り当てた構成において、「変換後の始点IPアドレス(ホスト)」にインターフェースのIPアドレスと異なるIPアドレスを使用する場合は、プロキシーARPの設定が必須です。
Noteすでに確立済みのセッションはセッションテーブルに登録された情報を元にパケットを転送します。
awplus# show nat ↓ NAT is enabled
awplus# show nat rule ↓ [* = Rule is not valid - see "show nat rule config-check"] ID Action App From To With Hits -------------------------------------------------------------------------------- 10 masq any private public - 0 20 portfw http public - private.lan.webhost 0
awplus# show nat rule config-check ↓ Rule 30: "dst" entity must exist, and have exactly one IPv4 address同コマンドでは、無効なルールがある場合、それが理由とともに示されます。
awplus# show nat rule config-check ↓ All rules are valid
awplus(config)# connection-log events all ↓ awplus(config)# log buffered level informational facility local5 ↓
(C) 2015 - 2024 アライドテレシスホールディングス株式会社
PN: 613-002107 Rev.BD