ポリシー ベースの動的 NAT を構成する

ポリシー ベースの動的 NAT では、Firebox はプライベート IP アドレスをパブリック IP アドレスにマッピングします。各ポリシーの既定の構成では、動的 NAT が有効になっています。以前に無効にしていない場合、有効にする必要はありません。

ポリシー ベースの動的 NAT が正しく動作するようにするには、ポリシー プロパティの編集 ダイアログ ボックスの ポリシー タブを使用して、ポリシーが 1 つの Firebox のインターフェイスからのみトラフィック送信を許可するように構成されていることを確認します。

1-to-1 NAT ルールは、動的 NAT ルールより優先されます。ポリシーに基づく動的 NAT は、ネットワークの動的 NAT より優先されます。

Fireware v12.2 以降では、ポリシーの動的 NAT 設定でループバック インターフェイスのプライマリまたはセカンダリ IP アドレスを指定できます。これは、プロバイダーに依存しない IP アドレスのブロックがあり、これらのアドレスを特定の外部インターフェイスにバインドせずに使用したい場合に行えます。プロバイダーに依存しない IP アドレスは、NAT およびFirebox で生成されるトラフィックに使用できます。Firebox で生成されるトラフィックは、Firebox によって自己生成されます。

Firebox で生成されるトラフィックの詳細については、次を参照してください: Firebox で生成されるトラフィックのポリシーについて

  1. ファイアウォール > ファイアウォール ポリシー の順に選択します。
    ファイアウォール ポリシーのリストが表示されます
  2. ポリシーを選択します。
  3. アクション ドロップダウン リストから、ポリシーの編集 を選択します。
  4. 詳細 タブをクリックします。

ポリシーの構成 ページ - 詳細 タブのスクリーンショット

  1. 動的 NAT チェックボックスを選択します。
  2. Firebox に設定されている動的 NAT ルールを使用する場合は、ネットワーク NAT 設定を使用する を選択します。
    これが既定の設定です。
  3. このポリシーのすべてのトラフィックに NAT を適用する場合は、このポリシーのすべてのトラフィック を選択します。

このポリシーのすべてのトラフィック が選択されていると、Firebox により処理される各パケットの発信元 IP アドレスが、パケットが送信されたインターフェイスのプライマリ IP アドレスに、またはネットワークの動的 NAT の設定で構成された発信元 IP アドレスに変更されます。または、このポリシーで処理されるトラフィックに、異なる動的 NAT の発信元 IP アドレスを設定できます。

ポリシーの発信元 IP アドレスを設定するには、次の手順に従います:

  1. このアドレスを設定するには、発信元 IP を設定 チェックボックスをオンにします。
  2. その隣にあるテキスト ボックスに、このポリシーで処理されるトラフィックに適用する発信元 IP アドレスを入力します。この発信元アドレスは、送信トラフィックに指定したインターフェイスのプライマリ IP アドレスまたはセカンダリ IP アドレスと同じサブネット上にある必要があります。Fireware v12.2 以降では、ループバックインターフェイスのプライマリまたはセカンダリ IP アドレスと同じサブネット上にある発信元アドレスを指定できます。

発信元 IP アドレスを選択する場合、このポリシーを使用する各トラフィックでは、パブリックまたは外部 IP アドレス範囲の指定されたアドレスが発信元として表示されます。この設定がよく使用されるのは、Firebox の外部インターフェイスの IP アドレスが MX 記録の IP アドレスと異なる場合に、送信 SMTP トラフィックでドメインの MX 記録アドレスを強制的に示す場合です。

Firebox で複数の外部インターフェイスが構成されている場合は、発信元 IP の設定 オプションを使用しないことをお勧めします。ポリシーで 発信元 IP を設定 オプションを使用する場合、ポリシー設定でフェールオーバー付ポリシーベースのルーティングを有効化しないでください。

動的 NAT 発信元 IP アドレス指定オプションの詳細については、次を参照してください: 動的 NAT 発信元 IP アドレスについて

  1. ポリシーを右クリックし、ポリシーの変更 をクリックします。
    ポリシー プロパティの編集 ダイアログ ボックスが表示されます。
  2. 詳細 タブをクリックします。

ポリシー プロパティの編集 ダイアログ ボックスのスクリーンショット - 詳細 タブ

  1. 動的 NAT チェックボックスを選択します。
  2. Firebox に設定されている動的 NAT ルールを使用する場合は、ネットワーク NAT 設定を使用する を選択します。
    これが既定の設定です。
  3. このポリシーのすべてのトラフィックに NAT を適用する場合は、このポリシーのすべてのトラフィック を選択します。

このポリシーのすべてのトラフィック が選択されていると、Firebox により処理される各パケットの発信元 IP アドレスが、パケットが送信されたインターフェイスのプライマリ IP アドレスに、またはネットワークの動的 NAT の設定で構成された発信元 IP アドレスに変更されます。または、このポリシーで処理されるトラフィックに、異なる動的 NAT の発信元 IP アドレスを設定できます。

ポリシーの発信元 IP アドレスを設定するには、次の手順に従います:

  1. このアドレスを設定するには、発信元 IP を設定 チェックボックスをオンにします。
  2. その隣にあるテキスト ボックスに、このポリシーで処理されるトラフィックに適用する発信元 IP アドレスを入力します。この発信元アドレスは、送信トラフィックに指定したインターフェイスのプライマリ IP アドレスまたはセカンダリ IP アドレスと同じサブネット上にある必要があります。Fireware v12.2 以降では、ループバックインターフェイスのプライマリまたはセカンダリ IP アドレスと同じサブネット上にある発信元アドレスを指定できます。

発信元 IP アドレスを選択する場合、このポリシーを使用する各トラフィックでは、パブリックまたは外部 IP アドレス範囲の指定されたアドレスが発信元として表示されます。この設定がよく使用されるのは、Firebox の外部インターフェイスの IP アドレスが MX 記録の IP アドレスと異なる場合に、送信 SMTP トラフィックでドメインの MX 記録アドレスを強制的に示す場合です。

Firebox で複数の外部インターフェイスが構成されている場合は、発信元 IP の設定 オプションを使用しないことをお勧めします。ポリシーで 発信元 IP を設定 オプションを使用する場合、ポリシー設定でフェールオーバー付ポリシーベースのルーティングを有効化しないでください。

動的 NAT 発信元 IP アドレス指定オプションの詳細については、次を参照してください: 動的 NAT 発信元 IP アドレスについて

ポリシー ベースの動的 NAT を無効化する

各ポリシーの既定の構成では、動的 NAT が有効になっています。

  1. ファイアウォール > ファイアウォール ポリシー の順に選択します。
    ファイアウォール ポリシーのリストが表示されます
  2. ポリシーを選択します。
    ポリシーのページが表示されます。
  3. アクション ドロップダウン リストから、ポリシーの編集 を選択します。
  4. 詳細 タブをクリックします。
  5. このポリシーによって制御されるトラフィックの NAT を無効化するには、動的 NAT チェックボックスをオフにします。
  1. ポリシーを右クリックし、ポリシーの変更 をクリックします。
    ポリシー プロパティの編集 ダイアログ ボックスが表示されます。
  2. 詳細 タブをクリックします。
  3. このポリシーが制御されたトラフィック のために NAT を無効にするには、動的 NAT チェックボックスをオフにします。

関連情報:

動的 NAT について