UTM / NAT

基本設定
ダイナミックENAT(IPマスカレード)
ポートフォワーディング
設定と状態の確認

NAT機能はIPアドレス・TCP/UDPポートを変換する機能の総称です。
本製品はルーティング用インターフェースにおいて、下記のNAT機能をサポートしています。
Note - NAT機能の対象はIPv4パケットだけです。IPv6には対応していません。


NAT機能の具体的な使用例については、「設定例集」をご覧ください。

基本設定

 NAT機能の設定は、NATモード(natコマンド)で行います。
NATルールの設定はruleコマンドで、NAT機能の有効化はenableコマンドで行います。

ダイナミックENAT(IPマスカレード)

 ダイナミックENAT(IPマスカレード)は、IPアドレスだけでなくTCP/UDPのポート番号も動的に変換することで、限られたグローバルアドレスを複数のホストで共用させる機能です。

■ ダイナミックENATルールを設定するには、ruleコマンドでmasqアクションを指定し、適用対象のアプリケーションと送信元・宛先エンティティー定義を指定します。

たとえば、ゾーン「private」から「public」へのすべてのトラフィックに対し、始点IPアドレスを本製品の出力インターフェースのIPアドレスに変換するダイナミックENATルールを設定するには次のようにします。

awplus(config)# nat
awplus(config-nat)# rule masq any from private to public
awplus(config-nat)# enable

この例において、
を表します。

「アプリケーション」と「エンティティー」の詳細は、「UTM」/「アプリケーション定義」「UTM」/「エンティティー定義」をご覧ください。

なお、ファイアウォール機能を併用している場合は、ダイナミックENATの対象トラフィックがファイアウォールで破棄されないよう、ファイアウォールモードのruleで、次のようなファイアウォールルールを設定する必要があります。

awplus(config)# firewall
awplus(config-firewall)# rule permit any from private to public


ポートフォワーディング

 ポートフォワーディングは、本製品宛てに送信されたパケットの終点IPアドレスを変換することで、該当パケットをあらかじめ指定したホストに転送する機能です。この機能を利用すると、たとえばグローバルアドレスが1つしかない環境でも、複数のサーバー(サービス)を外部に公開することができます。

Note - ポートフォワーディングではTCP/UDPのポート番号は変換しません。また、ICMPなどTCP/UDP以外のパケットに対しても、終点IPアドレスの書き換え(指定ホストへの転送)を行います。

■ ポートフォワーディングルールを設定するには、ruleコマンドでportfwdアクションを指定し、適用対象のアプリケーションと送信元・転送先エンティティー定義を指定します。

たとえば、ゾーン「public」から本製品に宛てられたHTTP通信のパケットを、ゾーン「dmz」内のネットワーク「servernet」上にあるホスト「web」に転送するポートフォワーディングルールを設定するには次のようにします。

awplus(config)# nat
awplus(config-nat)# rule portfwd http from public with dst dmz.servernet.web
awplus(config-nat)# enable

この例において、
を表します。

「アプリケーション」と「エンティティー」の詳細は、「UTM」/「アプリケーション定義」「UTM」/「エンティティー定義」をご覧ください。

Note - 「with dst」で指定するホスト定義にはIPv4アドレス(ip address)を1つだけ関連付けるようにしてください。

なお、ファイアウォール機能を併用している場合は、ダイナミックENATの対象トラフィックがファイアウォールで破棄されないよう、ファイアウォールモードのruleで、次のようなファイアウォールルールを設定する必要があります。

awplus(config)# firewall
awplus(config-firewall)# rule permit http from public to dmz.servernet.web


設定と状態の確認

 ■ NAT機能の有効・無効はshow natコマンドで確認できます。

awplus# show nat
NAT is enabled


■ NATルールの情報はshow nat ruleコマンドで確認できます。

awplus# show nat rule

[* = Rule is not valid - see "show nat rule config-check"]
  ID     Action  App        From          To            With          Hits
--------------------------------------------------------------------------------
  10     masq    any        private       public        -             0
  20     portfw  http       public        -             private.lan.webhost
                                                                      0


■ NATルールが有効かどうかをチェックするには、show nat rule config-checkコマンドを使います。

NATルールの作成時にはエンティティーとアプリケーションの両定義を使用しますが、これらの定義が不完全な場合(指定したアプリケーションやエンティティーが未定義である、アプリケーション定義でIPプロトコルが未指定、など)、該当ルールは有効にならず無視されてしまいます。

このような事態を避けるには、ルール作成後にshow nat rule config-checkコマンドを実行してルールが有効かどうかをチェックしてください。

awplus# show nat rule config-check
Rule 30:
  "dst" entity must exist, and have exactly one IPv4 address

同コマンドでは、無効なルールがある場合、それが理由とともに示されます。

この例では、次の理由によりルール「30」が無効であることが示されています。

また、次の例では、すべてのルールが有効であることが示されています。

awplus# show nat rule config-check
All rules are valid

(C) 2015 アライドテレシスホールディングス株式会社

PN: 613-002107 Rev.A