[index] CentreCOM 9600/8600シリーズコマンドリファレンス 2.2

ADD FIREWALL POLICY NAT

カテゴリー：ファイアウォール / ファイアウォールNAT
対象機種：8624（AT-FL-02が必要）、9606（AT-FL-02が必要）

ADD FIREWALL POLICY=policy NAT={ENHANCED|STANDARD} INTERFACE=vlan-if GBLINTERFACE=vlan-if [IP=ipadd] [GBLIP=ipadd[-ipadd]]

policy: ファイアウォールポリシー名（1～15文字。英数字とアンダースコア（_）を使用可能）
vlan-if: VLANインターフェース（VLAN-nameかVLANvidの形式。nameはVLAN名、vidはVLAN ID）
ipadd: IPアドレス

ファイアウォールポリシーにインターフェースNATルールを追加する。

インターフェースNATの設定では、常に2つのインターフェース（INT、GBLINT）を指定する必要がある。パケットがこれら2つのインターフェース間で転送された場合に限ってアドレス変換が行われる、というのがインターフェースNATの名前の由来でもあり、重要なポイントでもある。

インターフェースNATの設定に必要なパラメーターはNATの種類によって異なる。

・スタティックNAT（IPアドレスを1対1で固定的に変換）の場合は、NAT=STANDARDを指定し、IP（プライベートIP）、INTERFACE（プライベート側インターフェース）、GBLIP（グローバルIP）、GBLINTERFACE（グローバル側インターフェース）を指定する。

・ダイナミックNAT（IPアドレスを多対多で動的に変換）の場合は、NAT=STANDARDを指定し、INTERFACE（プライベート側インターフェース）、GBLINTERFACE（グローバル側インターフェース）、GBLIP（グローバルIPの範囲。x.x.x.a-x.x.x.b）を指定する。この場合、INTERFACE側のプライベートアドレスを、GBLIPで指定した範囲内で空いているグローバルアドレスに変換する。ただし、他のNATに比べてメリットが少ないため、あまり使われない。

・スタティックENAT（IPアドレス、プロトコル（、ポート）を1対1で固定的に変換）は、本コマンドでダイナミックENATの設定をした上で、ADD FIREWALL POLICY RULEコマンドで設定する。

・ダイナミックENAＴ（IPアドレス、プロトコル（、ポート）を多対多で動的に変換）の場合は、NAT=ENHANCEDを指定し、INTERFACE（プライベート側インターフェース）、GBLINTERFACE（グローバル側インターフェース）、GBLIP（グローバルIP。オプション）を指定する。これにより、動的なポート割り当てにより、GBLINTERFACEに割り当てられた1つのグローバルアドレス、または、GBLIPで指定したアドレスを、INTERFACE側のプライベートアドレスを持つホスト間で共有する。

なお、本コマンドで指定するインターフェース（INTERFACE、GBLINTERFACE）は、あらかじめADD FIREWALL POLICY INTERFACEコマンドでポリシーに追加しておく必要がある。

パラメーター

POLICY: ファイアウォールポリシー名

NAT: NATの種類。STANDARDはIPアドレスのみの変換を行うもので、プライベート1対グローバル1のスタティックNAT、または、複数プライベート対複数グローバルのダイナミックNATを使う場合に指定する。ENHANCEDはIPアドレスとポート番号の変換を行うダイナミックENAT使用時に指定する。

INTERFACE: プライベート側IPインターフェース。このインターフェースで受信したIPパケットは、GBLINTERFACEで指定されたインターフェースに転送されたときアドレス変換の対象となる。

GBLINTERFACE: グローバル側IPインターフェース。このインターフェースで受信したIPパケットは、INTERFACEで指定されたインターフェースに渡される前にアドレス変換される。

IP: スタティック（1対1）NAT時のプライベート側IPアドレスを指定する。NAT=STANDARDの場合のみ有効。NAT=STANDARDでも、GBLIPに複数のIPアドレスを指定した場合（ダイナミックNATの場合）は無効。

GBLIP: スタティックNAT時のグローバル側IPアドレス（NAT=STANDARDでIPパラメーターに1個のアドレスを指定した場合）、ダイナミックNAT時のグローバルIPアドレスの範囲（NAT=STANDARD）、および、ダイナミックENAT時のグローバルIPアドレスを指定する。

例

■ 不特定のvlan-in側端末のプライベートアドレスをvlan-outのグローバルアドレスに変換するダイナミックENATの設定
ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan-in GBLINT=vlan-out■ 上記ダイナミックENATにスタティックENAT（ポート転送）の設定を加えた例。vlan-outに割り当てられたアドレス1.1.1.1のTCPポート80番へ宛てられたパケットを、プライベート側端末192.168.10.5のポート80番に転送する。
ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan-in GBLINT=vlan-out ADD FIRE POLI=net RU=1 AC=ALLOW INT=vlan-out PROT=TCP GBLIP=1.1.1.1 GBLPORT=80 IP=192.168.10.5 PORT=80■ vlan-in側端末192.168.10.10をvlan-out側では1.1.1.10に見せかけるスタティックNATの設定。スタティックNATの設定は、ARPやルーティングなどの要素がからんでくるため複雑になっている。スタティックNATルールの設定自体は下記の一行ですむが、実際に運用するには、他にもマルチホーミングやポリシーフィルターの設定が必要になる。詳細は解説編を参照のこと
ADD FIREWALL POLICY=net NAT=STANDARD INT=vlan-in GBLINT=vlan-out-1 IP=192.168.10.10 GBLIP=1.1.1.10■ 不特定のvlan-in側端末のプライベートアドレスを1.1.1.11～1.1.1.13の未使用アドレスに変換するダイナミックNATの設定。vlan-out側において1.1.1.11～1.1.1.13へのARPに代理応答するため、プロキシーARPの設定が必要な点に注意。
ADD FIREWALL POLICY=net NAT=STANDARD INT=vlan-in GBLINT=vlan-out GBLIP=1.1.1.11-1.1.1.13 ADD IP ROUTE=1.1.1.11 MASK=255.255.255.255 INT=vlan-in NEXT=0.0.0.0 PREF=0 ADD IP ROUTE=1.1.1.12 MASK=255.255.255.255 INT=vlan-in NEXT=0.0.0.0 PREF=0 ADD IP ROUTE=1.1.1.13 MASK=255.255.255.255 INT=vlan-in NEXT=0.0.0.0 PREF=0

備考・注意事項

スタティックENAT（ポートフォワーディング）の設定は、ADD FIREWALL POLICY RULEコマンドで行う（コマンド例を参照）。

PN: J613-M0522-00 Rev.C