動的 NAT 発信元 IP アドレスについて

既定の動的 NAT 構成では、Firebox により、外部インターフェイスから送信されるトラフィックの発信元 IP アドレスが、そのトラフィックの送信元となる外部インターフェイスのプライマリ IP アドレスに変更されます。また、別の発信元 IP アドレスを使用するように動的 NAT を構成することもできます。動的 NAT の発信元 IP アドレスは、ネットワーク NAT ルールまたはポリシーの NAT 設定で設定できます。発信元 IP アドレスを選択すると、NAT では動的 NAT ルールまたはポリシーと一致するトラフィックに対して、指定された発信元 IPアドレスが使用されます。

発信元 IP アドレスをネットワークの動的 NAT ルールで指定する場合も、ポリシーで指定する場合も、発信元 IP アドレスが、そのトラフィックの送信元となるインターフェイスのプライマリ IP アドレスまたはセカンダリ IP アドレスと同じサブネット上に存在することが重要です。Fireware v12.2 以降では、ループバックインターフェイスのプライマリまたはセカンダリ IP アドレスと同じサブネット上にある IP アドレスも指定できます。また、ルールが適用されるトラフィックの送信元となるインターフェイスが 1 件のみであることを確認することも重要です。

動的 NAT の発信元 IP アドレスが、そのトラフィックの送信インターフェイスのプライマリまたはセカンダリ IP アドレス、または Fireware v12.2 以降のループバックインターフェイスのプライマリまたはセカンダリ IP アドレスと同じサブネットにない場合、Firebox は各パケットの発信元 IP アドレスを動的 NAT ルールで指定されている発信元 IP アドレスに変更しません。その代わりに、デバイスにより、パケットの発信元 IP アドレスが、そのパケットの送信元となるインターフェイスのプライマリ IP アドレスに書き換えられます。

ネットワークの動的 NAT ルールの動的 NAT の発信元 IP アドレスを設定します。

動的 NAT ルールに適合するトラフィックを対象として、そのトラフィックに適用されるポリシーを問わず発信元 IPアドレスを設定したい場合は、発信元 IP アドレスを指定するネットワークの動的 NAT ルールを追加します。指定する発信元 IP アドレスは、そのトラフィックの送信元となるインターフェイスのプライマリまたはセカンダリ IP アドレスと同じサブネット上にある必要があります。Fireware v12.2 以降では、ループバックインターフェイスのプライマリまたはセカンダリ IP アドレスと同じサブネット上にある IP アドレスも指定できます。

ネットワークの動的 NAT ルールの 送信先 ロケーションが「Any-External」など、複数のインターフェイスが含まれるエイリアスに指定されている場合、発信元 IPアドレスは、発信元 IPアドレスと同じサブネット上の IPアドレスを持つインターフェイスから送信されるトラフィックのみに使用されます。

例:

  • Firebox には、Eth0 (203.0.113.2) および Eth1 (192.0.2.2) の 2 つの外部インターフェイスがあります。
  • 「Any-External」へのトラフィックを対象とする動的 NAT ルールを作成したとします。
  • 動的 NAT ルールで、発信元 IP アドレスを 203.0.113.80 と設定したとします。

結果:

  • Eth0 から送信されるトラフィックの発信元 IP アドレスは、動的 NAT ルールの IP アドレス 203.0.113.80 となります。
  • Eth1 から送信されるトラフィックの発信元 IP アドレスは、Eth1 のインターフェイスの IP アドレス 192.0.2.2 となります。

詳細については、ネットワークの動的 NAT ルールを追加する を参照してください。

ポリシーの動的 NAT の発信元 IP アドレスを設定する

特定のポリシーで処理されるトラフィックの発信元 IP アドレスを設定したい場合、そのポリシーのネットワーク設定で発信元 IP アドレスを設定します。ここで指定する発信元 IP アドレスは、ポリシーの送信トラフィックに指定したインターフェイスのプライマリ IP アドレスまたはセカンダリ IP アドレスと同じサブネット上にある必要があります。Fireware v12.2 以降では、ループバックインターフェイスのプライマリまたはセカンダリ IP アドレスと同じサブネット上にある IP アドレスも指定できます。

Firebox で複数の外部インターフェイスが構成されている場合は、ポリシーの 発信元 IP の設定 オプションを使用しないことをお勧めします。ポリシーで 発信元 IP を設定する オプションを使用する場合は、ポリシー設定でフェールオーバーを有効にした状態で SD-WAN またはポリシーベースのルーティングを有効化しないでください。

詳細については、ポリシー ベースの動的 NAT を構成する を参照してください。

関連情報:

動的 NAT について