ファイアウォール 1-to-1 NAT を構成する

あらゆるインターフェイスに 1-to-1 NAT を構成することができます。外部インターフェイスの場合は、実ベース はネットワークのホストの実際(プライベート)の IP アドレスを指し、NAT ベース はプライベート アドレスに関連付けるパブリック IP アドレスを指しています。1-to-1 NAT マッピングは、単一の IP アドレス、IP アドレス範囲、またはサブネット全体で構成することができます。

1-to-1 NAT マッピングを追加する

  1. ネットワーク > NAT の順に選択します。
    NAT 設定 ページが表示されます。

Sscreen shot of the NAT settings page

  1. 1-to-1 NAT セクションで、追加 をクリックします。
    1-to-1 NAT 構成 ページが表示されます

Sscreen shot of the 1-to-1 NAT configuration page

  1. マップの種類 ドロップダウン リストから、単一 IP (1 つのホストをマッピングする場合)、IP 範囲 (ホストの範囲をマッピングする場合)、または IP サブネット (1 つのサブネットをマッピングする場合) を選択します。

IP 範囲 を選択する場合は、254 件を超える IP アドレスが含まれるサブネットまたは範囲を指定しないでください。254 件を超えるIP アドレスに 1-to-1 NAT を適用したい場合は、複数のルールを作成する必要があります。

  1. インターフェイス、NAT ベース、および実ベースの設定を構成します。

詳細については、次のセクションを参照してください: 1-to-1 NAT ルールを定義する

  1. 保存 をクリックします。
  2. NAT IP アドレスを適切なポリシーに追加します。
    • 送信接続を管理するポリシーの場合は、ポリシー構成の 送信元 セクションに、実ベース の IP アドレスを追加します。
    • 受信接続を管理するポリシーの場合は、ポリシー構成の 送信先 セクションに、NAT ベース の IP アドレスまたは 実ベース の IP アドレスを追加します。

Fireware v12.4 以降では、Fireware Web UI で 1-to-1 NAT マッピングを編集することができます。1 - 1 マッピングを編集するには、マッピングを選択して、編集 をクリックします。

  1. ネットワーク > NAT の順に選択します。
    NAT セットアップ ダイアログ ボックスが表示されます。
  2. 1-to-1 NAT タブをクリックします。

Screen shot of

  1. 追加 をクリックします。
    1 - 1 マッピングを追加する ダイアログ ボックスが表示されます。

Screen shot of the Add 1-to-1 Mapping dialog box

  1. マップの種類 ドロップダウン リストから、単一 IP (1 つのホストをマッピングする場合)、IP 範囲 (ホストの範囲をマッピングする場合)、または IP サブネット (1 つのサブネットをマッピングする場合) を選択します。

IP 範囲 を選択する場合は、254 件を超える IP アドレスが含まれるサブネットまたは範囲を指定しないでください。254 件を超えるIP アドレスに 1-to-1 NAT を適用したい場合は、複数のルールを作成する必要があります。

  1. 構成 セクションで、インターフェイス、NAT ベース、および実ベースの設定を構成します。

詳細については、次のセクションを参照してください: 1-to-1 NAT ルールを定義する

  1. OK をクリックします。
  2. NAT IP アドレスを適切なポリシーに追加します。
    • 送信接続を管理するポリシーの場合は、ポリシー構成の 送信元 セクションに、実ベース の IP アドレスを追加します。
    • 受信接続を管理するポリシーの場合は、ポリシー構成の 送信先 セクションに、NAT ベース の IP アドレスまたは 実ベース の IP アドレスを追加します。

1 - 1 マッピングを編集するには、マッピングを選択して、編集 をクリックします。

NAT を使用するようポリシーを編集する

1-to-1 NAT について の例に、1-to-1 NAT により電子メール サーバーへのアクセスが提供される仕組みが説明されてます。この構成を完了するには、外部ネットワークから IP アドレス 203.0.113.11 への接続を許可するように受信 SMTP ポリシー設定を変更する必要があります。また、発信 SMTP ポリシー設定も変更する必要があります。

  1. ファイアウォール > ファイアウォール ポリシー の順に選択します。
  2. 新しい SMTP 受信ポリシーを追加するか、既存の SMTP 受信ポリシーを変更します。
  3. SMTP ポリシーの 送信元 リストの横にある 追加 をクリックします。
    メンバーを追加する ダイアログ ボックスが表示されます。
  4. エイリアス Any-External を選択して、OK をクリックします。

Screen shot of the Add Member page

  1. 送信先 リストの隣にある 追加 をクリックします。
    メンバーを追加する ダイアログ ボックスが表示されます。
  2. ドロップダウン リストから ホスト IPv4 を選択して、この例の NAT ベース IP アドレスである 203.0.113.11 を入力します。
    また、NAT ベース IP アドレスの代わりに、実ベース IP アドレス (この例では 10.0.1.11) を指定することができます。

Screen shot of SMTP policy member page

  1. OK をクリックします。
    SMTP ポリシーページが表示されます。

Screen shot of inbound SMTP policy

  1. 発信 SMTP ポリシーを編集または作成するには、 送信元 および 送信先 テキスト ボックスに異なる値を指定し、手順 1~7 を繰り返し実行します。
    • 送信元 — 10.0.1.11
    • 送信先 — Any-External

Screen shot of oubound SMTP policy

  1. 新しい SMTP 受信ポリシーを追加するか、既存の SMTP 受信ポリシーを変更します。
  2. 送信元 リストの隣にある 追加 をクリックします。
  3. エイリアス Any-External を選択して、OK をクリックします。

Screen shot of Add Member page

  1. 送信先 リストの隣にある 追加 をクリックします。
  2. その他を追加する をクリックします。
    メンバーを追加する ダイアログ ボックスが表示されます。
  3. ドロップダウン リストから ホスト IPv4 を選択します。
  4. テキスト ボックスに、この例の NAT ベース IP アドレスである 203.0.113.11 を入力します。
    また、NAT ベース IP アドレスの代わりに、実ベース IP アドレス (この例では 10.0.1.11) を指定することができます。

Screen shot of Add Member page

  1. OKを 2 回クリックします。

Screen shot of inbound SMTP policy

  1. 発信 SMTP ポリシーを編集または作成するには、 送信元 および 送信先 テキスト ボックスに異なる値を指定し、手順 1~8 を繰り返し実行します。
    • 送信元 — 10.0.1.11
    • 送信先 — Any-External

1-to-1 NAT ルールを定義する

各 1-to-1 NAT ルールでは、ホスト、ホストの範囲、またはサブネットを構成できます。また、以下を構成する必要もあります。

インターフェイス

1-to-1 NAT を適用する イーサネット インターフェイスの名前。Firebox は、インターフェイスで送受信されるパケットに 1-to-1 NAT を適用します。上記の例では、外部インターフェイスにルールが適用されます。

NAT ベース

1-to-1 NAT ルールを構成する場合は、IP アドレスの範囲を 始点終点 で指定してルールを構成します。NAT ベースとは、アドレスの 終点 の範囲の中で使用できる先頭の IP アドレスです。NAT ベースの IP アドレスは、1-to-1 NAT が適用されたときに実ベースの IP アドレスの変更先となるアドレスです。イーサネット インターフェイスの IP アドレスは、NAT ベースには使用できません。外部インターフェイス経由の NAT の場合は、NAT ベースはパブリック IP アドレスとなります。

実ベース

1-to-1 NAT ルールを構成する場合は、IP アドレスの範囲を 始点終点 で指定してルールを構成します。実ベースとは、アドレスの 始点 の範囲の中で使用できる先頭の IP アドレスです。この IP アドレスは、1-to-1 NAT ポリシーを適用するコンピュータの物理イーサネット インターフェイスに割り当てられます。実ベース アドレスを持つコンピュータから送信されたパケットが、指定されたインターフェイスを通過する場合は、1 - 1 アクションが適用されます。外部インターフェイス経由の NAT の場合は、実ベースはプライベート IP アドレスとなります。

NAT 適用ホスト数 (範囲の場合だけ)

1-to-1 NAT ルールを適用する範囲に含まれる IP アドレスの数。1-to-1 NAT を適用すると、1 番目の実ベース IP アドレスは、1 番目の NAT ベースの IP アドレスに変換されます。範囲内の 2 番目の実ベース IP アドレスは、1-to-1 NAT の適用で 2 番目の NAT ベースの IP アドレスに変換されます。NAT 適用ホスト数 に達するまで、この手順が繰り返されます。上記の例では、NAT を適用するホストの数は 5 です。

1-to-1 NAT の使用方法の例については、次を参照してください: 1-to-1 NAT の例

1-to-1 NAT の構成方法のデモについては、ビデオ チュートリアル NAT を使用し始める を参照してくださ

Branch Office VPN 経由の 1-to-1 NAT

また、同じプライベート ネットワーク アドレスを使用する 2 つのネットワーク間で VPN トンネルを作成する必要がある場合は、1-to-1 NAT を使用できます。リモートネットワークから内部アドレス スキームをマスカレードする場合、VPN 構成で 1-to-1 NAT を使用することもできます。

VPN トンネルを作成した場合、その VPN トンネルの両端のネットワークでは、ネットワーク アドレスの範囲が異なる必要があります。リモートネットワークのネットワーク範囲がローカル ネットワークと同一の場合は、1-to-1 NAT を使用する必要があります。BOVPN 仮想インターフェイスの場合は、1-to-1 NAT 構成の BOVPN 仮想インターフェイス名を選択して、前のセクションに説明されている通り、1-to-1 NAT ルールを追加することができます。

BOVPN 仮想インターフェイス以外の Branch Office VPN の場合は、Branch Office VPN ゲートウェイとトンネルの設定で、1-to-1 NAT を構成することができます。両方のゲートウェイが 1-to-1 NAT を使用するように構成して、VPN トンネルを作成します。しかし、トンネルの片側の IP アドレスは変更しないでください。VPN トンネルの 1-to-1 NAT は、ネットワーク > NAT ダイアログ ボックスからではなく、VPN トンネルを構成する際に構成します。

この種類の構成の例については、次を参照してください: Branch Office VPN トンネル経由で 1-to-1 NAT を構成する

関連情報:

1-to-1 NAT について

ポリシー ベースの 1-to-1 NAT を構成する