設定例集#41: NATループバック

LAN内に立てた公開用Webサーバーに対しLAN側のPCからアクセスする際、サーバーのプライベートアドレスではなく公開用のグローバルアドレスを使用してサーバーへアクセスさせるための設定例です。一般的にはNATループバックやヘアピンNATと呼ばれている構成です。

本設定例では、固定のグローバルアドレス1個にて構築した例となっていますが、複数グローバルアドレスを取得した場合でも同様にご利用いただけます。

構成

ISPから提供された情報
ISP接続用ユーザー名	user@isp
ISP接続用パスワード	isppasswd
PPPoEサービス名	指定なし
WAN側IPアドレス	10.0.0.1/32（固定）
DNSサーバー	10.1.1.254、10.1.1.253
ルーターの基本設定
WAN側物理インターフェース	eth1
WAN側（ppp0）IPアドレス	10.0.0.1/32
LAN側クライアント用ネットワーク（vlan1）IPアドレス	192.168.1.1/24
LAN側サーバー用ネットワーク（eth2）IPアドレス	172.16.0.1/24

設定開始前に

自動設定の確認と削除

本設定例に掲載されているコマンドは、設定がまったく行われていない本製品の初期状態（スタートアップコンフィグなしで起動した状態）から入力することを前提としています。

そのため、通常は erase startup-config を実行し、スタートアップコンフィグが存在しない状態で起動してから、設定を始めてください。

ただし、本製品はスタートアップコンフィグなしで起動した場合でも、特定の条件を満たすと自動的な設定を行うことがあるため、その場合は設定例にしたがってコマンドを入力しても、コマンドがエラーになったり、全体として意図した動作にならない可能性があります。

これを避けるため、設定開始にあたっては次のいずれかの方法をとることをおすすめします。

ネットワークケーブルを接続せずに起動する。
起動時に自動設定が実行されるための条件の一つに、特定インターフェースのリンクアップがあります。
ネットワークケーブルを接続しない状態で起動することにより、自動設定の適用を回避できます。
自動設定を手動で削除してから設定を行う。
前記の方法を採用できず自動設定が適用されてしまった場合は、「自動的な設定内容の削除」にしたがって、これらを手動で削除してから設定を開始してください。

自動設定が行われる条件などの詳細については、AMF応用編のAMFネットワーク未検出時の拡張動作をご参照ください。

システム時刻の設定

ログなどの記録日時を正確に保ち、各種機能を適切に動作させるため、システム時刻は正確にあわせて運用することをおすすめします。
ご使用の環境にあわせ、次のいずれかの方法でシステム時刻を設定してください。

手動で設定する方法 - 「運用・管理」/「システム」
NTPで自動設定する方法 - 「運用・管理」/「NTP」

ルーターの設定

ファイアウォールやNATのルール作成時に使うエンティティー（通信主体）を定義します。
エンティティー定義の詳細は「UTM」/「エンティティー定義」をご覧ください。

DMZ（De-Militarized Zone）を表すゾーン「dmz」を作成します。
これには、zone、network、ip subnet、host、ip addressの各コマンドを使います。
```
zone dmz
 network eth2
  ip subnet 172.16.0.0/24
  host http
   ip address 172.16.0.80
```
内部ネットワークを表すゾーン「private」を作成します。
```
zone private
 network lan
  ip subnet 192.168.1.0/24
```

外部ネットワークを表すゾーン「public」を作成します。

zone public
 network wan
  ip subnet 0.0.0.0/0 interface ppp0
  host ppp0
   ip address 10.0.0.1

外部からの通信を遮断しつつ、内部からの通信は自由に行えるようにするファイアウォール機能の設定を行います。
これには、firewall、rule、protectの各コマンドを使います。

・rule 10 - 内部ネットワーク間の通信を許可します
・rule 20 - 内部ネットワークからDMZへの通信を許可します
・rule 30 - 内部ネットワークから外部への通信を許可します
・rule 40 - DMZ内の通信を許可します
・rule 50 - DMZから内部ネットワークへの通信を許可します
・rule 60 - DMZから外部への通信を許可します
・rule 70 - DNSリレー用に、本製品のWAN側インターフェースから外部へのDNS通信を許可します
・rule 80 - 外部からDMZのWebサーバーへの通信を許可します（NATルール30とペアで設定します）

ファイアウォールの詳細は「UTM」/「ファイアウォール」をご覧ください。
```
firewall
 rule 10 permit any from private to private
 rule 20 permit any from private to dmz
 rule 30 permit any from private to public
 rule 40 permit any from dmz to dmz
 rule 50 permit any from dmz to private
 rule 60 permit any from dmz to public
 rule 70 permit dns from public.wan.ppp0 to public
 rule 80 permit http from public to dmz.eth2.http
 protect
```
NAT機能の設定を行います。
これには、nat、rule、enableの各コマンドを使います。

・rule 10 - ゾーン「private」のコンピューターからppp0インターフェースのアドレスに送られたHTTPパケットをDMZのWebサーバーに転送します
・rule 20 - ゾーン「private」のコンピューターから「dmz」内のアドレスに送られたHTTPパケットに対し、始点アドレスをppp0のアドレスに書き換えるダイナミックENATを適用します
・rule 30 - ppp0インターフェースで受信したHTTPパケットをDMZのWebサーバーに転送します
・rule 40 - ゾーン「private」のコンピューターがダイナミックENAT機能を使用できるようにします
・rule 50 - ゾーン「dmz」のコンピューターがダイナミックENAT機能を使用できるようにします

NATの詳細は「UTM」/「NAT」をご覧ください。
```
nat
 rule 10 portfwd http from private to public.wan.ppp0 with dst dmz.eth2.http
 rule 20 masq http from private to dmz with src public.wan.ppp0
 rule 30 portfwd http from public with dst dmz.eth2.http
 rule 40 masq any from private to public
 rule 50 masq any from dmz to public
 enable
```
LANポートにおいて初期状態で有効化されているスパニングツリープロトコル（RSTP）を無効化します。これにはspanning-tree enableコマンドをno形式で実行します。
スパニングツリープロトコルの詳細は「L2スイッチング」/「スパニングツリープロトコル」をご覧ください。
```
no spanning-tree rstp enable
```
WANポートeth1上にPPPoEインターフェースppp0を作成します。これには、encapsulation pppコマンドを使います。
PPPの詳細は「PPP」/「一般設定」をご覧ください。
```
interface eth1
 encapsulation ppp 0
```
DMZ側インターフェースeth2にIPアドレスを設定します。これにはip addressコマンドを使います。
IPインターフェースの詳細は「IP」/「IPインターフェース」をご覧ください。
```
interface eth2
 ip address 172.16.0.1/24
```
LAN側インターフェースvlan1にIPアドレスを設定します。これにはip addressコマンドを使います。
IPインターフェースの詳細は「IP」/「IPインターフェース」をご覧ください。
```
interface vlan1
 ip address 192.168.1.1/24
```
PPPインターフェースppp0に対し、PPPoE接続のための設定を行います。

・IPCPによるDNSサーバーアドレスの取得要求（ppp ipcp dns）
・LCP EchoによるPPP接続状態の確認（keepalive）
・ユーザー名（ppp username）
・パスワード（ppp password）
・Unnumbered IPインターフェースの設定（ip unnumbered）
・MSS書き換え（ip tcp adjust-mss）

PPPの詳細は「PPP」/「一般設定」をご覧ください。
```
interface ppp0
 ppp ipcp dns request
 keepalive
 ppp username user@isp
 ppp password isppasswd
 ip address 10.0.0.1/32
 ip tcp adjust-mss pmtu
```
デフォルト経路をPPPインターフェースppp0に向けます。これにはip routeコマンドを使います。
IP経路設定の詳細は「IP」/「経路制御」をご覧ください。
```
ip route 0.0.0.0/0 ppp0
```
DNSリレー機能を有効にします。これには、ip dns forwardingコマンドを使います。
DNSリレー機能の詳細は「IP付加機能」/「DNSリレー」をご覧ください。
```
ip dns forwarding
```
以上で設定は完了です。
```
end
```

設定の保存

■ 設定が完了したら、現在の設定内容を起動時コンフィグとして保存してください。これには、copyコマンドを「copy running-config startup-config」の書式で実行します。

awplus# copy running-config startup-config ↓
Building configuration...
[OK]

また、write fileコマンド、write memoryコマンドでも同じことができます。

awplus# write memory ↓
Building configuration...
[OK]

その他、設定保存の詳細については「運用・管理」/「コンフィグレーション」をご覧ください。

ファイアウォールログについて

■ ファイアウォールのログをとるには、次のコマンド（log(filter)）を実行します。

awplus(config)# log buffered level informational facility local5 ↓

■ 記録されたログを見るには、次のコマンド（show log）を実行します。ここでは、ファイアウォールが出力したログメッセージだけを表示させています。

awplus# show log | include Firewall ↓

ルーターのコンフィグ

!
zone dmz
 network eth2
  ip subnet 172.16.0.0/24
  host http
   ip address 172.16.0.80
!
zone private
 network lan
  ip subnet 192.168.1.0/24
!
zone public
 network wan
  ip subnet 0.0.0.0/0 interface ppp0
  host ppp0
   ip address 10.0.0.1
!
firewall
 rule 10 permit any from private to private
 rule 20 permit any from private to dmz
 rule 30 permit any from private to public
 rule 40 permit any from dmz to dmz
 rule 50 permit any from dmz to private
 rule 60 permit any from dmz to public
 rule 70 permit dns from public.wan.ppp0 to public
 rule 80 permit http from public to dmz.eth2.http
 protect
!
nat
 rule 10 portfwd http from private to public.wan.ppp0 with dst dmz.eth2.http
 rule 20 masq http from private to dmz with src public.wan.ppp0
 rule 30 portfwd http from public with dst dmz.eth2.http
 rule 40 masq any from private to public
 rule 50 masq any from dmz to public
 enable
!
no spanning-tree rstp enable
!
interface eth1
 encapsulation ppp 0
!
interface eth2
 ip address 172.16.0.1/24
!
interface vlan1
 ip address 192.168.1.1/24
!
interface ppp0
 ppp ipcp dns request
 keepalive
 ppp username user@isp
 ppp password isppasswd
 ip address 10.0.0.1/32
 ip tcp adjust-mss pmtu
!
ip route 0.0.0.0/0 ppp0
!
ip dns forwarding
!
end

PN: 613-002107 Rev.BF