rule

モード: NATモード
カテゴリー: UTM / NAT

(config-nat)# rule [<1-65535>] masq {APPNAME|any} from SRC_ENTITY to DST_ENTITY

(config-nat)# rule [<1-65535>] portfwd {APPNAME|any} from SRC_ENTITY with dst TARGET_ENTITY

(config-nat)# no rule {<1-65535>|all}

NATルールを追加する。
no形式で実行した場合は指定したルールを削除する。

ルールの指定にはエンティティーとアプリケーションの両定義を使用するが、これらの定義が不完全な場合（指定したアプリケーションやエンティティーが未定義である、アプリケーション定義でIPプロトコルが未指定、など）、該当ルールは有効にならないので注意。ルールが有効化どうかは、show nat rule config-checkコマンドでチェックできる。

なお、ルールの順番はmove ruleコマンドで変更可能。

パラメーター

<1-65535> ルール番号。省略時はリストの最後尾に新規ルールが追加される。このときのルール番号決定方法については「注意・補足事項」を参照

masq NATアクションとしてダイナミックENAT（IPマスカレード）を指定する。「SRC_ENTITY」から「DST_ENTITY」に宛てられた「APPNAME」トラフィックの始点IPアドレスとポート番号を動的に変換する。変換後のIPアドレスは、該当パケットの出力インターフェースのIPアドレスとなる

portfwd NATアクションとしてポートフォワーディングを指定する。「SRC_ENTITY」から本製品に宛てられた「APPNAME」トラフィックの終点IPアドレスを「TARGET_ENTITY」のIPアドレスに変換して転送する。本アクションは本製品宛てのIPv4パケットに対してのみ作用する

APPNAME 制御対象のアプリケーション名。指定可能なアプリケーションはshow application detailで確認可能（ただし、DPIアプリケーションは指定できない）。詳細は解説編を参照

any すべてのトラフィックをNAT対象にする

from SRC_ENTITY NAT対象トラフィックの送信元エンティティー名（show entityで一覧表示可能）

to DST_ENTITY NAT対象トラフィックの宛先エンティティー名（show entityで一覧表示可能）。アクションがmasqのときだけ有効。アクションがportfwdのときは暗黙のうちに「本製品自身」となる

with dst TARGET_ENTITY ポートフォワーディングにおける転送先ホストのエンティティー名（show entityで一覧表示可能）。「ゾーン.ネットワーク.ホスト」形式のホスト定義名で指定する。該当ホスト定義にはIPv4アドレス（ip address）を1つだけ関連付けること。アクションがportfwdのときだけ有効

all no形式ですべてのNATルールを削除するときに指定する

使用例

■ ゾーン「private」から「public」へのトラフィックにダイナミックENATを適用するNATルールを追加する。

awplus(config-nat)# rule masq any from private to public ↓

■ ゾーン「public」から本製品に宛てられたHTTPトラフィックをゾーン「private」内ネットワーク「wired」上のホスト「webhost」に転送するポートフォワーディングルールを追加する。

awplus(config-nat)# rule portfwd http from public with dst private.wired.webhost ↓

■ NATルール「20」を削除する。ルール番号はshow nat ruleコマンドで確認すること。

awplus(config-nat)# no nat rule 20 ↓

注意・補足事項

■ 本コマンドでルール番号を指定しなかったときはリストの最後尾に新規ルールが追加される。このときのルール番号は次のようにして決まる。

(1) 原則：既存の最後尾ルールより大きい直近の10の倍数になる
- ルールが存在しない状態でルール番号を省略して作成したルールの番号は10（有効範囲内にある最小の10の倍数）
- 最後尾のルール番号が10～18の状態でルール番号を省略して作成したルールの番号は20
(2) 例外：既存の最後尾ルール番号の一の位が9のときは、「+11」した値（直近ではなくその次の10の倍数）になる
- 最後尾のルール番号が19の状態でルール番号を省略して作成したルールの番号は20ではなく30（=19+11）
  ※この動作は、既存の最後尾ルールと新規に追加したルールの間に、後から別のルールを挿入する余地を残すため。
その他：前述の仕様 (1) (2) により、最後尾のルール番号が65529以上の時は、ルール番号を省略して新規ルールを追加することはできない（65529 + 11 = 65540となりルール番号の最大値 65535 を超えてしまうため）。その場合はルール番号を明示的に指定して追加すること。

■ ポートフォワーディングではTCP/UDPのポート番号は変換しない。また、ICMPなどTCP/UDP以外のパケットに対しても、終点IPアドレスの書き換え（指定ホストへの転送）を行う。

■ NAT機能の対象はIPv4アドレスのみ。IPv6アドレスには対応していない。

■ NATルールでは、アプリケーションコントロール（DPI）によって判別されたアプリケーションは指定できない。APPNAMEパラメーターでNAT対象トラフィックを指定するときは、あらかじめ定義されている事前定義済みアプリケーションかapplicationコマンドで定義したカスタムアプリケーションを指定すること。あるいは、すべてのトラフィックを意味する「any」キーワードを指定すること。

コマンドツリー

nat (グローバルコンフィグモード) | +- rule（NATモード）

`<1-65535>`	ルール番号。省略時はリストの最後尾に新規ルールが追加される。このときのルール番号決定方法については「注意・補足事項」を参照
`masq`	NATアクションとしてダイナミックENAT（IPマスカレード）を指定する。「SRC_ENTITY」から「DST_ENTITY」に宛てられた「APPNAME」トラフィックの始点IPアドレスとポート番号を動的に変換する。変換後のIPアドレスは、該当パケットの出力インターフェースのIPアドレスとなる
`portfwd`	NATアクションとしてポートフォワーディングを指定する。「SRC_ENTITY」から本製品に宛てられた「APPNAME」トラフィックの終点IPアドレスを「TARGET_ENTITY」のIPアドレスに変換して転送する。本アクションは本製品宛てのIPv4パケットに対してのみ作用する
`APPNAME`	制御対象のアプリケーション名。指定可能なアプリケーションはshow application detailで確認可能（ただし、DPIアプリケーションは指定できない）。詳細は解説編を参照
`any`	すべてのトラフィックをNAT対象にする
`from SRC_ENTITY`	NAT対象トラフィックの送信元エンティティー名（show entityで一覧表示可能）
`to DST_ENTITY`	NAT対象トラフィックの宛先エンティティー名（show entityで一覧表示可能）。アクションがmasqのときだけ有効。アクションがportfwdのときは暗黙のうちに「本製品自身」となる
`with dst TARGET_ENTITY`	ポートフォワーディングにおける転送先ホストのエンティティー名（show entityで一覧表示可能）。「ゾーン.ネットワーク.ホスト」形式のホスト定義名で指定する。該当ホスト定義にはIPv4アドレス（ip address）を1つだけ関連付けること。アクションがportfwdのときだけ有効
`all`	no形式ですべてのNATルールを削除するときに指定する

rule

パラメーター

使用例

注意・補足事項

コマンドツリー

関連コマンド