静的 NAT (SNAT) を構成する

静的 NAT (SNAT) はポート ツー ホストの NAT であり、ポート フォワーディングとも呼ばれています。静的 NAT では、ホストがネットワークから外部インターフェイスまたはオプショナル インターフェイスのポートにパケットを送信すると、静的 NAT により、宛先 IP アドレスがファイアウォールの背後の IP アドレスとポートに変更されます。ソフトウェア アプリケーションで複数のポートを使用していて、そのポートが動的に選択されている場合は、1-to-1 NAT を使用する必要があります。または、Firebox のプロキシによってこの種類のトラフィックが管理されているかどうかを確認してください。静的 NAT は、Firebox により保護されているネットワークからの接続でも動作します。

特にパブリック IP アドレスが少数しかない場合は、1-to-1 NAT の代わりに静的 NAT を構成することをお勧めします。

Firebox の外部インターフェイスまたはオプショナル インターフェイスへの接続の静的 NAT を構成することができます。信頼済みインターフェイスまたはカスタム インターフェイスへの接続の静的 NAT を構成することができます。BOVPN または Mobile VPN 接続の静的 NAT は構成することができません。

デバイス構成テンプレートのオプショナル インターフェイスの静的 NAT を構成することができます。デバイス構成テンプレートで SNAT アクションを構成する方法の詳細については、次を参照してください: SNAT アクションを構成する

静的 NAT を使用すると、内部サーバーへの接続を、サーバーの実際の IP アドレスではなく、Firebox インターフェイスの IP アドレス宛てにすることができます。たとえば、プライベート IP アドレスを持つ SMTP 電子メール サーバーを Firebox の背後に配置し、SMTP ポリシーで静的 NAT を構成します。そうすると、Firebox はポート 25 で接続を受信して、すべての SMTP 接続を Firebox の背後の SMTP サーバーの実アドレスに送信します。

  • Fireware v12.2 以降では、IP アドレスに加えて SNAT アクションで FQDN を指定できます。
  • Fireware v12.2.1 以降では、静的 NAT アクションでループバックインターフェイスのプライマリまたはセカンダリ IP アドレスを指定できます。これは、プロバイダーに依存しない IP アドレスがある場合、または内部 IP アドレスが特定のインターフェイスに関連付けられていない場合、これらの IP アドレスを引き続き NAT で使用できるよう行えます。

既定では、静的 NAT ルールによってインバウンド トラフィックの発信元 IP アドレスは変更されません。静的 NAT アクションを追加する際に、必要に応じて、アクションの発信元 IP アドレスを指定することができます。また、Firebox が静的 NAT アクションのパラメータと一致する接続を受信すると、発信元 IP アドレスが、指定されている IP アドレスに変更されます。各 SNAT メンバーに対して異なる発信元 IP アドレスを指定することができます。

また、静的 NAT アクションでポート アドレス変換 (PAT) を有効化することができます。PAT を有効にすると、パケットの宛先を変更して、別の内部ホストと別のポートを指定することができます。

静的 NAT の構成方法のデモについては、ビデオ チュートリアル NAT を使用し始める を参照してください。

静的 NAT アクションを追加する

Fireware Web UI で、1 つまたは複数のポリシーに静的 NAT アクションを定義する必要があります。そうすれば、それを使用できるようになります。

  1. ファイアウォール > SNAT の順に選択します。
     SNAT ページが表示されます。
  2. 追加 をクリックします。
    SNAT を追加する ページが表示されます。

Screen shot of the Add SNAT page

  1. 名前 テキスト ボックスに、この SNAT アクションの名前を入力します。
  2. (任意) 説明 テキスト ボックスに、この SNAT アクションの説明を入力します。
  3. 静的 NAT を選択します。
    これが既定の選択です。
  4. 追加 をクリックします。
    メンバーを追加する ダイアログ ボックスが表示されます。

Screen shot of the Static NAT Add Member dialog box

  1. (Fireware v12.2.1以降) IP アドレスまたはインターフェイス ドロップダウン リストから、このアクションで使用する外部、オプション、またはループバック インターフェイスの IP アドレスまたはエイリアスを選択します。外部、オプション、またはループバック インターフェイスに割り当てられているセカンダリ ネットワーク (secondary network) に属する IP アドレスを選択することもできます。

たとえば、単一の外部 IP アドレスのみにアドレス指定されているパケットの静的 NAT を使用する場合は、外部 IP アドレスまたはエイリアスを選択します。任意の IP インターフェイスにアドレス指定されているパケットの静的 NAT を使用する場合は、Any-Optional エイリアスを選択します。

Fireware v12.2 以降におけるこのドロップダウン リストの名前は 外部/任意 IP アドレス です。外部インターフェイスまたはオプショナル インターフェイスの IP アドレスまたはエイリアスは選択できますが、ループバック インターフェイスの IP アドレスは選択できません。

  1. (Fireware v12.2 以降) 種類の選択 ドロップダウン リストから、内部 IP アドレス または FQDN を選択します。
    1. 内部 IP アドレス を選択した場合は、ホスト テキスト ボックスに IP アドレスを入力します。
    2. FQDN を選択した場合は、ホスト テキスト ボックスに完全修飾ドメイン名を入力します。
  2. この静的 NAT アクションに発信元 IP アドレスを指定するには、発信元 IP の設定 チェックボックスを選択します。横のテキスト ボックスに、発信元 IP アドレスを入力します。
  3. ポート アドレス トランザクション (PAT) を有効にするには、内部ポートを異なるポートに設定する チェックボックスを選択します。そばのテキスト ボックスに、ポート番号を入力または選択します。

TCP または UDP 以外の接続を許可するポリシーで SNAT アクションを使用する場合は、内部ポート設定はその接続に使用されません。

  1. OK をクリックします。
    静的 NAT のルートが SNAT メンバーの一覧に表示されます。
  2. このアクションに別のメンバーを追加するには、追加 をクリックして、ステップ 7〜12 を繰り返します。
  3. 保存 をクリックします。
    SNAT ページに、新しい SNAT アクションが表示されます。

Policy Manager で静的 NAT アクションを作成してポリシーに追加する、またはポリシーの構成内から静的 NAT アクションを作成することができます。

  1. セットアップ > アクション > SNAT の順に選択します。
     SNAT ダイアログ ボックスが表示されます。
  2. 追加 をクリックします。
    SNAT を追加する ダイアログ ボックスが表示されます。

Screen shot of the Add SNAT dialog box

  1. SNAT テキスト ボックスに、この SNAT アクションの名前を入力します。
  2. (任意) 説明 テキスト ボックスに、この SNAT アクションの説明を入力します。
  3. 静的 NAT を選択します。
    これが既定の選択です。
  4. 追加 をクリックします。
    静的 NAT を追加する ダイアログ ボックスが表示されます。

Screen shot of the Add Static NAT dialog box

  1. (Fireware v12.2.1以降) IP アドレスまたはインターフェイス ドロップダウン リストから、このアクションで使用する外部、オプション、またはループバック インターフェイスの IP アドレスまたはエイリアスを選択します。外部、オプション、またはループバック インターフェイスに割り当てられているセカンダリ ネットワーク (secondary network) に属する IP アドレスを選択することもできます。

    2. たとえば、単一の外部 IP アドレスのみにアドレス指定されているパケットの静的 NAT を使用する場合は、外部 IP アドレスまたはエイリアスを選択します。任意の IP インターフェイスにアドレス指定されているパケットの静的 NAT を使用する場合は、Any-Optional エイリアスを選択します。

    Fireware v12.2 以降におけるこのドロップダウン リストの名前は 外部/任意 IP アドレス です。外部インターフェイスまたはオプショナル インターフェイスの IP アドレスまたはエイリアスは選択できますが、ループバック インターフェイスの IP アドレスは選択できません。

  2. この静的 NAT アクションに発信元 IP アドレスを指定するには、発信元 IP の設定 チェックボックスを選択します。横のテキスト ボックスに、発信元 IP アドレスを入力します。
  3. (Fireware v12.2 以降) 種類の選択 ドロップダウン リストから、内部 IP アドレス または FQDN を選択します。
    1. 内部 IP アドレス を選択した場合は、ホスト テキスト ボックスに IP アドレスを入力します。
    2. FQDN を選択した場合は、ホスト テキスト ボックスに完全修飾ドメイン名を入力します。
  4. ポート アドレス トランザクション (PAT) を有効にするには、内部ポートを異なるポートに設定する チェックボックスを選択します。そばのテキスト ボックスに、ポート番号を入力または選択します。

TCP または UDP 以外の接続を許可するポリシーで SNAT アクションを使用する場合は、内部ポート設定はその接続に使用されません。

  1. OK をクリックします。
    静的 NAT のルートが SNAT メンバーの一覧に表示されます。
  2. このアクションに別のメンバーを追加するには、追加 をクリックして、ステップ 7〜12 を繰り返します。
  3. OK をクリックします。
    新しい SNAT アクションは、SNAT ダイアログ ボックスに表示されます。

静的 NAT アクションをポリシーに追加します。

SNAT アクションを追加した後に、1 つまたは複数のポリシーでアクションを使用することができます。

  1. ファイアウォール > ファイアウォール ポリシー の順に選択します。
  2. 編集するポリシー名をクリックします。
  3. 接続 ドロップダウン リストから、許可 を選択します。
    静的 NAT を使用するには、ポリシーによって受信接続を許可する必要があります。
  4. 送信元 セクションで、追加 をクリックします。
    メンバーを追加する ダイアログ ボックスが表示されます。

Screen shot of the Add Member dialog box, with a static NAT member selected

  1. メンバーの種類 ドロップダウン リストから、静的 NAT を選択します。
    構成されている静的 NAT アクションのリストが表示されます。
  2. このポリシーに追加する静的 NAT アクションを選択します。OK をクリックします。
    静的 NAT ルートがポリシー構成の送信先セクションに表示されます。
  3. 保存 をクリックします。
  1. ポリシーを編集するには、ポリシーをダブルクリックします。
  2. 接続 ドロップダウン リストから、許可 を選択します。
    静的 NAT を使用するには、ポリシーによって受信接続を許可する必要があります。
  3. 送信元 セクションで、追加 をクリックします。
    アドレスを追加する ダイアログ ボックスが表示されます。
  4. SNAT を追加する をクリックします。
    構成済み静的 NAT とサーバー負荷分散アクションのリストが記載された SNAT ダイアログ ボックスが表示されます。

Screen shot of the SNAT dialog box with an SNAT action selected

  1. 追加する構成済み SNAT アクションを選択します。OK をクリックします。
    または 追加 をクリックして、新しい静的 NAT アクションを定義します。静的 NAT アクションを追加する の手順に従って、静的 NAT アクションを構成します。
  2. OK をクリックして、SNAT ダイアログ ボックスを閉じます。
    静的 NAT のルートが 選択されたメンバーとアドレス リストに表示されます。

Screen shot of the Add Address dialog box, with a static NAT action added

  1. OK をクリックして、アドレスを追加する ダイアログ ボックスを閉じます。
  2. OK をクリックし、ポリシー プロパティ ダイアログ ボックスを閉じます。

静的 NAT アクションを編集または削除します。

SNAT アクション リストで SNAT アクションを編集することができます。

  1. ファイアウォール > SNAT の順に選択します。
    SNAT ページが表示されます。
  2. SNAT アクションを選択します。
  3. 編集 をクリックします。
    SNAT の編集 ページが表示されます。
  4. SNAT アクションを変更します。
    SNAT アクションを編集すると、その SNAT アクションを使用するポリシーすべてに変更が適用されます。
  5. 保存 をクリックします。
  1. セットアップ > アクション > SNAT の順に選択します。
    SNAT ダイアログ ボックスが表示されます。
  2. SNAT アクションを選択します。
  3. 編集 をクリックします。
    SNAT の編集 ページが表示されます。
  4. SNAT アクションを変更します。
    SNAT アクションを編集すると、その SNAT アクションを使用するポリシーすべてに変更が適用されます。
  5. OK をクリックします。

また、ポリシーを編集する際に、Policy Manager で SNAT アクションを編集することができます。

  1. ポリシーを編集するには、ポリシーをダブルクリックします。
    ポリシー プロパティの編集 ダイアログ ボックスが ポリシー タブが選択された状態で表示されます。
  2. 送信先 セクションで、編集する SNAT アクションを選択します。
  3. 編集 をクリックします。
    SNAT の編集 ダイアログ ボックスが表示されます。
  4. SNAT アクションを変更します。
    ポリシーから SNAT アクションを編集すると、その SNAT アクションを使用するすべてのポリシーに変更が適用されます。
  5. OK をクリックします。

ポリシーで使用されていない SNAT アクションは削除することができます。

  1. ファイアウォール > SNAT の順に選択します。
    SNAT ページが表示されます
  2. SNAT アクションを選択します。
  3. 削除 をクリックします。
    確認ダイアログ ボックスが表示されます。
  4. OK をクリックして、SNAT アクションを削除することを確認します。
  1. セットアップ > アクション > SNAT の順に選択します。
    SNAT ダイアログ ボックスが表示されます。
  2. SNAT アクションを選択します。
  3. 削除 をクリックします。
    確認ダイアログ ボックスが表示されます。
  4. はい をクリックして、SNAT アクションを削除することを確認します。
  5. OK をクリックします。

静的 NAT のグローバル設定を変更する

既定では、静的 NAT アクションが変更されても、Firebox ではアクティブ接続がクリアされません。変更された SNAT アクションを使用するアクティブ接続が Firebox でクリアされるように、グローバル SNAT 設定を変更することができます。

グローバル SNAT 設定を変更するには、Fireware Web UI または Policy Manager で以下の手順を実行します。

  1. 設定 > グローバル設定 の順に選択します。
  2. システム > グローバル設定 の順に選択します。
  3. ネットワーク タブを選択します。
  4. トラフィック フロー セクションで、SNAT アクションが変更された際に、SNAT アクションを使用するアクティブ接続をクリアする チェックボックスを選択します。

関連情報:

ポリシー ベースの動的 NAT を構成する

構成例 - Firebox の配下にパブリック Web サーバーを設定する

構成ファイル例 - Firebox の配下にパブリック Web サーバーを設定する