|
◆ NAT-src の種類と設定方法
NAT-src には以下の4種類がありますが、一般的に使用されるのは「DIPアドレスなしのNAT-src」です。
NAT-src は単にDIP(Dynamic IP)とも呼ばれ、WebUIの設定項目ではNAT-srcではなくDIPとあります。
| NAT-src の種類 |
説明 |
| DIPアドレスなしのNAT-src |
Egress I/F のアドレスに変換。ポート変換されるので理論上65535台の変換可。 |
| ポート変換のあるDIPアドレスプール |
プールされたアドレスに動的に変換。ポート変換されるので理論上65535台の変換可。 |
| ポート変換のないDIPアドレスプール |
プールされたアドレスに動的に変換。プールされたアドレス数だけがNAT変換される。 |
| DIPアドレスシフティング |
静的に1対1のマッピング。マッピングされたアドレスだけがNAT変換。まず使用しない。 |
◆ DIPアドレスなしのNAT-src
set policy from zone to zone source-ip dest-ip service nat src permit
◆ 設定例 : Trust から Untrust ゾーンへ転送される送信元がSALESNW(172.16.1.0/24)は Egress I/F のIPに変換
| SSG5-> set policy from Trust to Untrust SALESNW any any nat src permit |
◆ ポート変換のあるDIPアドレスプール
set interface interface dip number start-address end-address
set policy from zone to zone source-ip dest-ip service nat src dip-id number permit
◆ 設定例 : Trust から Untrust へ転送される送信元が「SALESNW」のトラフィックは 1.1.1.1〜1.1.1.10 に変換(ポートも変換)
SSG5-> set interface ethernet0/0 dip 5 1.1.1.1 1.1.1.10
SSG5-> set policy from Trust to Untrust SALESNW any any nat src dip-id 5 permit
|
◆ ポート変換のないDIPアドレスプール
set interface interface dip number start-address end-address fix-port
set policy from zone to zone source-ip dest-ip service nat srcdip-id number permit
◆ 設定例 : Trust から Untrust へ転送されるが送信元が SALESNW のトラフィックは 1.1.1.1〜1.1.1.10 に変換(ポートは固定)
SSG5-> set interface ethernet0/0 dip 5 1.1.1.1 1.1.1.10 fix-port
SSG5-> set policy from Trust to Untrust SALESNW any any nat src dip-id 5 permit
|
◆ DIPアドレスシフティング
set interface interface dip number shift-from private-address to start-address end-address
set policy from zone to zone source-ip dest-ip service nat src dip-id number permit
◆ 設定例 : Trust から Untrust へ転送されるトラフィックで 192.168.1.5 は 1.1.1.5 に、192.168.1.6 は 1.1.1.6 にNAT変換
SSG5-> set interface ethernet0/0 dip 5 shift-from 192.168.1.5 to 1.1.1.5 1.1.1.6
SSG5-> set policy from Trust to Untrust Any Any any nat src dip-id 5 permit
|
※ DIPの設定では、指定するインターフェースは送出されていくEgressのインターフェースを指定します。
※ アドレスシフティングの設定を行ってもInitiateの通信を発生する事ができるのは送信側だけとなります。
◆ NAT-dst の種類と設定方法
ScreenOSでは当初、DIP、VIP、MIPの3種類のアドレス変換技術を実装していましたが、このNAT-dstも
後に実装するようになりました。NAT-dst には4種類がありますが、これらが使用される頻度は少ないです。
NAT-dst は、宛先アドレスのアドレス変換を行う技術。公開サーバへのアクセスに利用される時があります。
※ NAT-dst の「1対多マッピング」はVIPアドレス機能に類似した機能。NAT-dst の場合、Untrust以外のゾーンでの使用が可能。
| NAT-dst の種類 |
説明 |
| 1対1 マッピング |
1つのグローバルIPアドレスを、1つのプライベートIPアドレスにマッピング。 |
| 1対多 マッピング |
1つのグローバルIPアドレスを、宛先ポートに基づいて、複数のプライベートIPアドレスにマッピング。 |
| 多対多 マッピング |
アドレスシフティングでグローバルIPアドレスのグループを連続したプライベートIPの範囲にマップ。 |
| ポート変換 |
静的にポートマッピングすることで、ポート変換をNAT-dst構成で適用。 |
作成手順@:アドレスブック作成(外部からアクセスするグローバルIPアドレスを定義したアドレスブック)
作成手順A:到達可能にするためのスタティックルートの作成。SSGパケットフロー図の説明通り着信した
パケットに対してアドレス変換する前にルーティングテーブルを参照します。従って、アドレス変換前である
アドレス(ネットワーク)に対するルーティングエントリが存在する必要があります。そこでルーティングで
プライベートアドレスが設定されたI/Fを、アウトバウンドI/Fとしたルーティングを設定する必要があります。
SSG5-> set address Trust PUBHTTP 1.1.1.10/32
SSG5-> set route 1.1.1.10/32 interface ethernet0/2
|
作成手順B:ポリシーの作成。以下の4種類があります。
◆ 1対1 マッピング
set policy from zone to zone source-ip dest-ip service nat dst ip ip-address permit
| SSG5-> set policy from EXTERNAL to Trust any PUBHTTP http nat dst ip 192.168.1.10
permit |
◆ 1対多 マッピング ( VIP機能に類似。上記の「1対1マッピング」を複数記述することを意味する )
set policy from zone to zone source-ip dest-ip service nat dst ip ip-address permit
SSG5-> set policy from EXTERNAL to Trust any PUBHTTP http nat dst ip 192.168.1.10
permit
SSG5-> set policy from EXTERNAL to Trust any PUBHTTP ftp nat dst ip 192.168.1.11
permit
|
◆ 多対多 マッピング
set policy from zone to zone source-ip dest-ip service nat dst ip start-ip end-ip
| SSG5-> set policy from EXTERNAL to Trust any RANHTTP http nat dst ip 192.168.1.10
192.168.1.20 permit |
◆ ポート変換
set policy from zone to zone source-ip dest-ip service nat dst ip ip-address port number permit
| SSG5-> set policy from EXTERNAL to Trust any PUBHTTP http nat dst ip 192.168.1.10 port 8080 permit |
|