[index] CentreCOM 8700SLシリーズコマンドリファレンス 2.9

ADD FIREWALL POLICY NAT

カテゴリー：ファイアウォール / ファイアウォールNAT
備考：フィーチャーライセンス AT-FL-02またはAT-FL-02-B が必要

ADD FIREWALL POLICY=policy NAT={ENHANCED|STANDARD} INTERFACE=vlan-if GBLINTERFACE=vlan-if [IP=ipadd] [GBLIP=ipadd[-ipadd]]

policy: ファイアウォールポリシー名（1～15文字。英数字とアンダースコア（_）を使用可能）
vlan-if: VLANインターフェース（VLAN-nameかVLANvidの形式。nameはVLAN名、vidはVLAN ID）またはPPPインターフェース
ipadd: IPアドレス

ファイアウォールポリシーにインターフェースNATルールを追加する。

ファイアウォールNATには、インターフェース単位で設定するインターフェースNATと、アドレス単位で指定するルールNATがある。ルールNATのほうが詳細な設定が可能だが、通常の用途ではインターフェースNATで充分。よほど特殊な設定をしたいとき以外はインターフェースNATをお勧めする。また、両者は併用可能だが、設定の見通しが悪くなるのでどちらか一方だけにしたほうが望ましい。インターフェースNATは本コマンドで、ルールNATはADD FIREWALL POLICY RULEコマンドで設定する。

インターフェースNATの設定では、常に2つのインターフェース（INT、GBLINT）を指定する必要がある。パケットがこれら2つのインターフェース間で転送された場合に限ってアドレス変換が行われる、というのがインターフェースNATの名前の由来でもあり、重要なポイントでもある。

インターフェースNATの設定に必要なパラメーターはNATの種類によって異なる。

・スタティックNAT（IPアドレスを1対1で固定的に変換）の場合は、NAT=STANDARDを指定し、IP（プライベートIP）、INTERFACE（プライベート側インターフェース）、GBLIP（グローバルIP）、GBLINTERFACE（グローバル側インターフェース）を指定する。

・ダイナミックNAT（IPアドレスを多対多で動的に変換）の場合は、NAT=STANDARDを指定し、INTERFACE（プライベート側インターフェース）、GBLINTERFACE（グローバル側インターフェース）、GBLIP（グローバルIPの範囲。x.x.x.a-x.x.x.b）を指定する。この場合、INTERFACE側のプライベートアドレスを、GBLIPで指定した範囲内で空いているグローバルアドレスに変換する。ただし、他のNATに比べてメリットが少ないため、あまり使われない。

・スタティックENAT（IPアドレス、プロトコル（、ポート）を1対1で固定的に変換）は、本コマンドでダイナミックENATの設定をした上で、ADD FIREWALL POLICY RULEコマンドで設定する。

・ダイナミックENAT（IPアドレス、プロトコル（、ポート）を多対多で動的に変換）の場合は、NAT=ENHANCEDを指定し、INTERFACE（プライベート側インターフェース）、GBLINTERFACE（グローバル側インターフェース）、GBLIP（グローバルIP。オプション）を指定する。これにより、動的なポート割り当てにより、GBLINTERFACEに割り当てられた1つのグローバルアドレス、または、GBLIPで指定したアドレスを、INTERFACE側のプライベートアドレスを持つホスト間で共有する。

なお、本コマンドで指定するインターフェース（INTERFACE、GBLINTERFACE）は、あらかじめADD FIREWALL POLICY INTERFACEコマンドでポリシーに追加しておく必要がある。

パラメーター

POLICY: ファイアウォールポリシー名

NAT: NATの種類。STANDARDはIPアドレスのみの変換を行うもので、プライベート1対グローバル1のスタティックNAT、または、複数プライベート対複数グローバルのダイナミックNATを使う場合に指定する。ENHANCEDはIPアドレスとポート番号の変換を行うダイナミックENAT使用時に指定する。

INTERFACE: プライベート側IPインターフェース。このインターフェースで受信したIPパケットは、GBLINTERFACEで指定されたインターフェースに転送されたときアドレス変換の対象となる。

GBLINTERFACE: グローバル側IPインターフェース。このインターフェースで受信したIPパケットは、INTERFACEで指定されたインターフェースに渡される前にアドレス変換される。

IP: スタティック（1対1）NAT時のプライベート側IPアドレスを指定する。NAT=STANDARDの場合のみ有効。NAT=STANDARDでも、GBLIPに複数のIPアドレスを指定した場合（ダイナミックNATの場合）は無効。

GBLIP: スタティックNAT時のグローバル側IPアドレス（NAT=STANDARDでIPパラメーターに1個のアドレスを指定した場合）、ダイナミックNAT時のグローバルIPアドレスの範囲（NAT=STANDARD）、および、ダイナミックENAT時のグローバルIPアドレスを指定する。

例

■ 不特定のvlan-in側端末のプライベートアドレスをvlan-outのグローバルアドレスに変換するダイナミックENATの設定
ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan-in GBLINT=vlan-out■ 上記ダイナミックENATにスタティックENAT（ポート転送）の設定を加えた例。vlan-outに割り当てられたアドレス1.1.1.1のTCPポート80番へ宛てられたパケットを、プライベート側端末192.168.10.5のポート80番に転送する。
ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan-in GBLINT=vlan-out ADD FIRE POLI=net RU=1 AC=ALLOW INT=vlan-out PROT=TCP GBLIP=1.1.1.1 GBLPORT=80 IP=192.168.10.5 PORT=80■ vlan-in側端末192.168.10.10をvlan-out側では1.1.1.10に見せかけるスタティックNATの設定。NAT用アドレス1.1.1.10が実インターフェースに割り当てられていない場合、本製品は1.1.1.10へのARP Requestに自動的に応答する。
ADD FIREWALL POLICY=net NAT=STANDARD INT=vlan-in GBLINT=vlan-out IP=192.168.10.10 GBLIP=1.1.1.10■ 不特定のvlan-in側端末のプライベートアドレスを1.1.1.11～1.1.1.13の未使用アドレスに変換するダイナミックNATの設定。NAT用アドレス1.1.1.11～1.1.1.13が実インターフェースに割り当てられていない場合、本製品は1.1.1.11～1.1.1.13へのARP Requestに自動的に応答する。
ADD FIREWALL POLICY=net NAT=STANDARD INT=vlan-in GBLINT=vlan-out GBLIP=1.1.1.11-1.1.1.13

備考・注意事項

スタティックENAT（ポートフォワーディング）の設定は、ADD FIREWALL POLICY RULEコマンドで行う（コマンド例を参照）。

NAT用のIPアドレスとして、実インターフェースに割り当てられていないIPアドレスを指定した場合、本製品はNAT用IPアドレスへのARP Requestに自動的に応答する。

PN: J613-M0019-01 Rev.Q