1-to-1 NAT を有効化すると、Firebox は 1 つまたは複数のプライベート IP アドレスを、1 つまたは複数のパブリック IP アドレスにマップします。これにより、内部ネットワーク リソースを、インターネットからアクセス可能な電子メールサーバーのようにすることができます。
1 -1-to-1 NAT は、1 つの IP アドレス、IP アドレスの範囲、またはサブネットに適用することができます。1-to-1 NAT ルールは、常に動的 NAT よりも優先されます。
1-to-1 NAT を使用する別のインターフェイス上に配置されているコンピュータに接続する場合は、そのコンピュータのパブリック (NAT ベース) IP アドレスを使用する必要があります。これに問題がある場合は、1-to-1 NAT を無効にして静的 NAT を使用します。
ほとんどのネットワークでは、1-to-1 NAT ではなく SNAT を構成することをお勧めします。SNAT と DNAT を組み合わせることで 1-to-1 NAT よりも柔軟性が上がり、1-to-1 NAT が実行できることはすべて実行できるようになります。SNAT についての詳細は、次を参照してください: SNAT について。
1-to-1 NAT を構成した場合、1-to-1 NAT で使用する IP アドレスは他の目的には使用できない点に注意してください。たとえば、インバウンド トラフィックや、VPN、Access Portal、サポート アクセスなどの Firebox の機能に 1 - 1 の IP アドレスを使用することもできません。
一般的な用途
パブリック IP アドレスを特定の内部デバイス専用に割り当てているが、これらのパブリック IP アドレスは他の Firebox 機能では使用できないという状況を考えてみましょう。管理者は通常、公開する必要があるプライベート IP アドレスを持つ内部サーバーに 1-to-1 NAT を使用します。1-to-1 NAT を使用してパブリック IP アドレスを内部デバイスにマップすることができます。内部デバイスの IP アドレスは変更する必要がありません。
たとえば、内部ネットワークの電子メールサーバーで 1-to-1 NAT を構成することができます。内部ネットワークのユーザーは、プライベート IP アドレスを使用して電子メール サーバーに接続します。ネットワーク外部のユーザーは、1-to-1 NAT 設定で指定したパブリック IP アドレスを使用して電子メール サーバーに接続します。
1-to-1 NAT は、複数の内部サーバーでも使用できます。たとえば、5 つの内部電子メールサーバーがある場合、1-to-1 NAT を使用してパブリック IP アドレスを内部サーバーにマップすることができます。
1-to-1 NAT を構成する際、内部サーバーの IP アドレスは変更する必要がありません。
パブリック IP アドレスが 1 つ、または少数しかない場合は、1-to-1 NAT を有効にしないでください。パブリック IP アドレスが 1 つしかない場合、1-to-1 NAT は機能しません。パブリック IP アドレスがごく少数の場合は、パブリック IP アドレスをより有効に活用するために SNAT の使用を推奨します。
例 — 単一サーバー
この例は、内部電子メール サーバーの 1-to-1 NAT 構成について説明します。1-to-1 NAT 構成で使用されるパブリック IP アドレスは、イーサネット インターフェイスの既存の IP アドレスと同じであってはなりません。
この例では、以下のようになります。
- Firebox には、203.0.113.100/24 の外部インターフェイスの IP アドレスがあります
- 1 つの内部電子メール サーバーは、プライベート IP アドレス 10.0.1.11 を持ちます
- このプライベート IP アドレスを パブリック IP アドレスと関連付けます
1-to-1 NAT ルールを追加して、内部電子メール サーバーのプライベート IP アドレスを、対応するパブリック IP アドレスに関連付けることができます。これを行うには、外部インターフェイスと同じネットワーク サブネット上の未使用のパブリック IP アドレスを選択します。たとえば、パブリック IP アドレスの場合は、203.0.113.11 となります。電子メール サーバーが解決する先の DNS レコードを作成します。
その後、電子メール サーバーのプライベート(実)IP アドレスを対応するパブリック IP アドレスにマップする、外部インターフェイスを通過するトラフィックの 1-to-1 NAT ルールを作成します。
| 実質ベース | NAT ベース |
|---|---|
|
10.0.1.11 |
203.0.113.11 |
この 1-to-1 NAT ルールにより、対応する IP アドレスに静的な双方向の関係が成立します。1-to-1 NAT ルールを適用すると、Firebox により、アドレスのペアの間に双方向のルーティングおよび NAT 関係が作成されます。1-to-1 NAT は、Firebox により保護されているネットワークから送信されるトラフィック上でも動作します。
この例を構成する方法の詳細については、次を参照してください: ファイアウォール 1-to-1 NAT を構成する
例 — 複数のサーバー
同じようなサーバーが複数ある (複数の電子メール サーバーなど) 場合は、同じサーバーに静的 NAT を構成するよりも 1-to-1 NAT を構成する方が簡単です。1-to-1 NAT 構成で使用されるパブリック IP アドレスは、イーサネット インターフェイスの既存の IP アドレスと同じであってはなりません。
この例では、以下のようになります。
- Firebox には、203.0.113.100/24 の外部インターフェイスの IP アドレスがあります
- 5 つの内部電子メール サーバーには、10.0.1.11 〜 10.0.1.15 の範囲のプライベート IP アドレスがあります。
- これらのプライベート IP アドレスを 5 つのパブリック IP アドレスと関連付けます。
1-to-1 NAT ルールを追加して、それぞれのプライベート電子メール サーバーを対応するパブリック IP アドレスに関連付けることができます。これを行うには、外部インターフェイスと同じネットワーク サブネット上の 5 つの未使用のパブリック IP アドレスを選択します。たとえば、これらのパブリック IP アドレスは 203.0.113.11 〜 203.0.113.15 の範囲にある可能性があります。電子メール サーバーが解決する先の DNS レコードを作成します。
その後、電子メール サーバーの 5 つのプライベート(実)IP アドレスの IP 範囲を、対応する 5 つのパブリック IP アドレス セットにマッピングする外部インターフェイスを通過するトラフィックの 1-to-1 NAT ルールを作成します。
| 実質ベース | NAT ベース | 範囲 |
|---|---|---|
|
10.0.1.11 10.0.1.12 10.0.1.13 10.0.1.14 10.0.1.15 |
203.0.113.11 203.0.113.12 203.0.113.13 203.0.113.14 203.0.113.15 |
5 |
この 1-to-1 NAT ルールにより、対応する IP アドレス ペアの間に静的な双方向の関係が成立します。1-to-1 NAT ルールを適用すると、Firebox により、2 つのアドレス範囲内のアドレスのペアの間に双方向のルーティングおよび NAT 関係が作成されます。1-to-1 NAT は、Firebox により保護されているネットワークから送信されるトラフィック上でも動作します。
その他の例については、次を参照してください: 1-to-1 NAT の例
1-to-1 NAT および VPN について
VPN トンネルを作成した場合、その VPN トンネルの両端のネットワークでは、ネットワーク アドレスの範囲が異なる必要があります。また、同じプライベート ネットワーク アドレスを使用する 2 つのネットワーク間で VPN トンネルを作成する必要がある場合は、1-to-1 NAT を使用できます。リモートネットワークのネットワーク範囲がローカル ネットワークと同一の場合は、1-to-1 NAT を使用するように VPN を構成します。
- BOVPN 仮想インターフェイスについては、その他のインターフェイスと同じように 1-to-1 NAT を構成します。1-to-1 NAT のインターフェイスとして BOVPN 仮想インターフェイス名を選択することができます。
- BOVPN 仮想インターフェイス以外の Branch Office VPN トンネルの場合は、Branch Office VPN ゲートウェイとトンネルの設定で 1-to-1 NAT を構成する必要があります。詳細については、Branch Office VPN トンネル経由で 1-to-1 NAT を構成する を参照してください。
関連情報:
ビデオ チュートリアル: NAT を使用し始める。