[index] CentreCOM AR450S コマンドリファレンス 2.9

ADD FIREWALL POLICY NAT

カテゴリー：ファイアウォール / ファイアウォールNAT

ADD FIREWALL POLICY=policy NAT={ENHANCED|STANDARD|ENAPT} INTERFACE=interface GBLINTERFACE=interface [IP=ipadd] [GBLIP=ipadd[-ipadd]]

policy: ファイアウォールポリシー名（1～15文字。英数字とアンダースコアを使用可能）
interface: IPインターフェース名（eth0、ppp0など）
ipadd: IPアドレス

ファイアウォールポリシーにインターフェースベースのNATルールを追加する。

本製品のNAT機能には、IPモジュール内蔵のIP NATと、ファイアウォールモジュール内蔵のファイアウォールNATがあるが、両者は同時使用できない。ファイアウォールを使用するときはファイアウォールNATを、そうでないときはIP NATを使う。

また、ファイアウォールNATには、インターフェース単位で設定するインターフェースNATと、アドレス単位で指定するルールNATがある。ルールNATのほうが詳細な設定が可能だが、通常の用途ではインターフェースNATで充分。よほど特殊な設定をしたいとき以外はインターフェースNATをお勧めする。また、両者は併用可能だが、設定の見通しが悪くなるのでどちらか一方だけにしたほうが望ましい。インターフェースNATは本コマンドで、ルールNATはADD FIREWALL POLICY RULEコマンドで設定する。

インターフェースNATの設定では、常に2つのインターフェース（INT、GBLINT）を指定する必要がある。パケットがこれら2つのインターフェース間で転送された場合に限ってアドレス変換が行われる、というのがインターフェースNATの名前の由来でもあり、重要なポイントでもある。

インターフェースNATの設定に必要なパラメーターはNATの種類によって異なる。

・スタティックNAT（IPアドレスを1対1で固定的に変換）の場合は、NAT=STANDARDを指定し、IP（プライベートIP）、INTERFACE（プライベート側インターフェース）、GBLIP（グローバルIP）、GBLINTERFACE（グローバル側インターフェース）を指定する。

・ダイナミックNAT（IPアドレスを多対多で動的に変換）の場合は、NAT=STANDARDを指定し、INTERFACE（プライベート側インターフェース）、GBLINTERFACE（グローバル側インターフェース）、GBLIP（グローバルIPの範囲。x.x.x.a-x.x.x.b）を指定する。この場合、INTERFACE側のプライベートアドレスを、GBLIPで指定した範囲内で空いているグローバルアドレスに変換する。ただし、他のNATに比べてメリットが少ないため、あまり使われない。

・スタティックENAT（IPアドレス、プロトコル（、ポート）を1対1で固定的に変換）は、本コマンドでダイナミックENATの設定をした上で、ADD FIREWALL POLICY RULEコマンドで設定する。

・ダイナミックENAT（IPアドレス、プロトコル（、ポート）を多対多で動的に変換）の場合は、NAT=ENHANCEDを指定し、INTERFACE（プライベート側インターフェース）、GBLINTERFACE（グローバル側インターフェース）、GBLIP（グローバルIP。オプション）を指定する。これにより、動的なポート割り当てにより、GBLINTERFACEに割り当てられた1つのグローバルアドレス、または、GBLIPで指定したアドレスを、INTERFACE側のプライベートアドレスを持つホスト間で共有する。

なお、本コマンドで指定するインターフェース（INTERFACE、GBLINTERFACE）は、あらかじめADD FIREWALL POLICY INTERFACEコマンドでポリシーに追加しておく必要がある。

パラメーター

POLICY: ファイアウォールポリシー名

NAT: NATの種類。STANDARDはIPアドレスのみの変換を行うもので、プライベート1対グローバル1のスタティックNAT、または、複数プライベート対複数グローバルのダイナミックNATを使う場合に指定する。ENHANCEDはIPアドレスとポート番号の変換を行うダイナミックENAT使用時に指定する。ENAPTはPort Restricted Cone NAT使用時に指定する。

INTERFACE: プライベート側IPインターフェース。このインターフェースで受信したIPパケットは、GBLINTERFACEで指定されたインターフェースに転送されたときアドレス変換の対象となる。

GBLINTERFACE: グローバル側IPインターフェース。このインターフェースで受信したIPパケットは、INTERFACEで指定されたインターフェースに渡される前にアドレス変換される。

IP: スタティック（1対1）NAT時のプライベート側IPアドレスを指定する。NAT=STANDARDの場合のみ有効。NAT=STANDARDでも、GBLIPに複数のIPアドレスを指定した場合（ダイナミックNATの場合）は無効。

GBLIP: スタティックNAT時のグローバル側IPアドレス（NAT=STANDARDでIPパラメーターに1個のアドレスを指定した場合）、ダイナミックNAT時のグローバルIPアドレスの範囲（NAT=STANDARD）、および、ダイナミックENAT時のグローバルIPアドレスを指定する。

例

■ vlan1側のプライベートアドレスをppp0に割り当てられたグローバルアドレスに変換するダイナミックENATを設定する。
ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan1 GBLINT=ppp0■ PPPインターフェースがUnnumberedの場合は、GBLIPパラメーターを追加して、ISPから割り当てられているグローバルIPアドレスの1つを指定する。
ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan1 GBLINT=ppp0 GBLIP=200.100.10.1■ ダイナミックENATにスタティックENATの設定を加えた例。ppp0に割り当てられたアドレスのTCPポート80番へ宛てられたパケットを、プライベート側端末192.168.10.5のポート80番に転送する。
ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan1 GBLINT=ppp0 ADD FIRE POLI=net RU=1 AC=ALLOW INT=ppp0 PROT=TCP GBLIP=0.0.0.0 GBLPORT=80 IP=192.168.10.5 PORT=80■ 192.168.10.5と200.100.10.5を相互変換するスタティックNATの設定。ppp0は外側インターフェースなので、通常はPUBLICに設定されているはず。その場合は、本例のように許可ルールを設定しないと外部から通信を開始できないので注意が必要（あるいは、インターフェースをポリシーに追加するときにMETHOD=PASSALLを指定してもよい）。また、GBLINTがEthernetの場合はARPやルーティングなどの要素がからんでくるため、他にもマルチホーミングやポリシーフィルターの設定が必要になる。詳細は解説編を参照のこと。
ADD FIREWALL POLICY=net NAT=STANDARD INT=vlan1 IP=192.168.10.5 GBLINT=ppp0 GBLIP=200.100.10.5 ADD FIREWALL POLICY=net RULE=1 ACTION=ALLOW INT=ppp0 PROT=ALL IP=192.168.10.5 GBLIP=200.100.10.5■ 不特定のLAN側端末のプライベートアドレスを1.1.1.11～1.1.1.13の未使用アドレスに変換するダイナミックNATの設定。eth0側において1.1.1.11～1.1.1.13へのARPに代理応答するため、プロキシーARPの設定が必要な点に注意。
ADD FIREWALL POLICY=net NAT=STANDARD INT=vlan1 GBLINT=eth0 GBLIP=1.1.1.11-1.1.1.13 ADD IP ROUTE=1.1.1.11 MASK=255.255.255.255 INT=vlan1 NEXT=0.0.0.0 PREF=0 ADD IP ROUTE=1.1.1.12 MASK=255.255.255.255 INT=vlan1 NEXT=0.0.0.0 PREF=0 ADD IP ROUTE=1.1.1.13 MASK=255.255.255.255 INT=vlan1 NEXT=0.0.0.0 PREF=0

備考・注意事項

スタティックENAT（ポートフォワーディング）の設定は、ADD FIREWALL POLICY RULEコマンドで行う（コマンド例を参照）。

Port Restricted Cone NAT（ENAPT）使用時、CREATE CONFIGコマンドを実行した場合は、ADD FIREWALL POLICY NAT行の最後に「GBLIP=WAN 側IPアドレス」が追加される。WAN側IPアドレスが固定IPアドレスでない場合は、この状態で再起動するとエラーが発生するので、CREATE CONFIG コマンドを実行した後に、EDITコマンドで「GBLIP=WAN側IP アドレス」を削除すること。

PN: J613-M3069-03 Rev.L