プライベート ネットワークのプライベート IP アドレスを持つサーバーへのパブリック アクセスに NAT を使用する
サンプル構成ファイル — WSM v11.10.1 で作成
改訂 — 2018/01/23
ユースケース
このユースケースでは、組織に Firebox の任意ネットワークにプライベート IP アドレスを持つ 2 つのメール サーバーがあります。この 2 つのサーバーにはプライベート IP アドレスが割り当てられていますが、ローカル ネットワーク外のサーバーで確実に電子メールを交換できるようにしなければなりません。
このユースケースには、NAT を使用してパブリック IP アドレスを Firebox の配下にあるサーバーにマッピングする方法を示す 2 つの構成オプションが含まれています。
この構成例は、参考のために提供されています。お客様のネットワーク環境によっては、構成の追加設定が必要になる場合や、より適切な場合があります。
ネットワーク トポロジ
このユースケースでは、2 つの SMTP 電子メール サーバーにはプライベート IP アドレスがあり、任意ネットワークの Firebox の配下に配置されています。
この構成ファイル例では、Firebox と電子メール サーバーで以下の IP アドレスが使用されます。
| インターフェイスまたはデバイス | IP アドレス |
|---|---|
|
Firebox 外部インターフェイス: プライマリ (オプション 1 のみに必要) セカンダリ (オプション 1 のみに必要) セカンダリ |
203.0.113.2/24 203.0.113.25/24 203.0.113.26/24 |
| Firebox 信頼済みインターフェイス | 10.0.1.1/24 |
| Firebox オプショナル インターフェイス | 10.0.2.1/24 |
| 任意ネットワークに接続されている電子メール サーバー 1 | 10.0.2.25 |
| 任意ネットワークに接続されている電子メール サーバー 2 | 10.0.2.26 |
この例の目的は、Firebox の配下にある電子メール サーバーと公共のインターネットとの間にトラフィックが流れるようにすることにあります。各メール サーバーに変換する IP アドレスは以下の通りです。
| メール サーバー | パブリック IP アドレス | プライベート (実) IP アドレス |
|---|---|---|
|
メール サーバー 1 |
203.0.113.25 |
10.0.2.25 |
| メール サーバー 2 | 203.0.113.26 | 10.0.2.26 |
解決方法の概要
この構成例には、電子メール サーバーのパブリック IP アドレスを、受信と送信トラフィックの対応するプライベート IP アドレスに変換するために使用できる 2 つの異なる種類の NAT 構成が示されています。
- オプション 1 — 受信トラフィックには静的 NAT を使用し、送信トラフィックには動的 NAT を使用する
- オプション 2 — 受信と送信トラフィックの両方に 1 - 1 NAT を使用する
サンプル構成ファイル
参考のため、このドキュメントにはサンプル構成ファイルが含まれています。Policy Manager で開いて、サンプルの各構成ファイルの詳細を調べることができます。この構成例には、2 つの構成ファイルがあります。
- nat_snat_dnat_mail.xml — 静的 NAT と動的 NAT のサンプル構成ファイル
- nat_1-to-1_mail.xml — 1 - 1 NAT のサンプル構成ファイル
要件
Firebox
この例に示されている静的 NAT 構成は、Fireware OS v11.5.x 以降を実行している Firebox を対象としています。Fireware 11.4.1 以前のバージョンは、静的 NAT 構成が多少異なります。
メール サーバー
パブリック メール サーバーとして構成されている 2 つの SMTP サーバー (各サーバーにプライベート IP アドレスがある)。
Web サーバー、FTP サーバー、メール サーバーなど、パブリックにアクセス可能なサーバーを、内部ユーザーまたは他の非公開ネットワーク リソースに接続するの同じネットワークに接続しないことをお勧めします。これらのサーバーはパブリックにアクセス可能なため、内部ネットワークに潜在的な脆弱性が示されます。こうしたパブリックにアクセス可能なサーバーは、他の内部ネットワーク リソースおよびユーザーとは別のネットワークに接続してください。この例では、メール サーバーは 任意 として構成されている Firebox に接続されたネットワークの一部となります。
メール サーバーに使用するパブリック IP アドレス
各サーバーにマッピングするために、パブリックにルーティング可能な IP アドレスが必要です。この例では、2 つのメール サーバーに 2 つの IP アドレスが使用されます。複数のサーバーを使用している場合は、隣接する IP アドレスを使用するほうが構成を簡単に行うことができます。
DNS MX 記録
この例のメール サーバーなど、一部の種類のサーバーでは、サーバーのパブリック IP アドレスに解決するための DNS レコードを作成する必要があります。メール サーバーでは、各サーバーに MX 記録が必要です。
仕組み
NAT は、いくつかの種類の IP アドレスとポート変換を指しています。すべての種類の NAT により、Firebox で、ポリシーによって処理されるパケットの送信元または送信先の 1 つの IP アドレスが別の IP アドレスに自動的に変更されます。これらの構成例では、3 つの異なる種類の NAT を使用して、パブリック IP アドレスを、受信と送信トラフィックの両方の各サーバーのプライベート IP アドレスに変換します。
- 動的 NAT — Firebox インターフェイスから出るトラフィックのアドレス変換に対応する
- 静的 NAT — 外部インターフェイスに入るトラフィックのアドレス変換に対応する
- 1 - 1 NAT — 外部インターフェイスに出入りするトラフィックのアドレス変換に対応する
この例には、2 つの異なる方法で NAT を構成して同じ結果を得る方法が示されています。
- オプション 1 では、動的 NAT と静的 NAT を併用して、メール サーバーへの受信と送信トラフィックを処理します。
- オプション 2 では、1 - 1 NAT のみを使用して、より少ないステップで同じ結果を達成します。
すべての NAT はポリシー ベースです。デバイス構成のポリシーにより、どの種類の NAT が各ポリシーにより処理されるトラフィックに適用されるかが決定されます。
- 1 - 1 NAT および動的 NAT — ポリシーの 詳細 タブの NAT 設定により、ネットワーク > NAT で構成された設定がそのポリシーにより処理されるトラフィックに適用されるかどうかが決まります。動的 NAT の場合は、ネットワーク NAT 設定を使用するようにポリシーを構成すること、または動的 NAT に使用する発信元 IP アドレスを指定することができます。
- 静的 NAT — ポリシーの 送信先 セクションに静的 NAT アクションが含まれている場合は、ポリシーにより、送信トラフィックに静的 NAT が使用されます。
構成の説明
オプション 1 — 静的 NAT と動的 NAT を使用する
この構成では、静的 NAT と動的 NAT を使用して、受信と送信トラフィックのメール サーバーの IP アドレスを変換する方法が示されています。ここに示されているサンプル構成ファイルは、nat_snat_dnat_mail.xml です。
外部インターフェイスの構成
外部インターフェイスは、2 つのセカンダリ IP アドレス (各メール サーバーに 1 つずつ) で構成されています。これらのセカンダリ外部 IP アドレスを最初に追加する必要があります。そうすると、静的 NAT アクションを構成するときに、セカンダリ外部 IP アドレスを選択できるようになります。
これらの IP アドレスは、2 つのメール サーバーの DNS MX 記録のパブリック IP アドレスで、静的 NAT と動的 NAT の構成で使用されます。
静的 NAT 構成
既定では、SMTP トラフィックで受信は許可されていません。構成例には、2 つのメール サーバーへの受信 SMTP トラフィックを許可する SMTP-proxy ポリシーが含まれています。受信 SMTP トラフィックを処理する SMTP プロキシ ポリシーには、外部インターフェイスからの 2 つのメール サーバーへの受信トラフィックで NAT を実行する静的 NAT (SNAT) アクションが含まれています。
ポリシーの静的 NAT アクションを表示するには、以下の手順を実行します:
- Policy Manager で、サンプル構成ファイルを開きます。
- SMTP プロキシ ポリシーを開きます。
ポリシー プロパティの編集 ダイアログ ボックスが表示されます。
このポリシーの SNAT ルールにより、受信トラフィックの宛先 IP アドレスが、各サーバーのパブリック IP アドレスから各サーバーのプライベート IP アドレスに変更されます。この SNAT アクションにより SMTP プロキシ ポリシーは次のように変更されます。
- メール サーバー 1 への受信 SMTP トラフィックで、宛先 IP アドレスが 203.0.113.25 から 10.0.2.25 に変更される。
- メール サーバー 2 への受信 SMTP トラフィックで、宛先 IP アドレスが 203.0.113.26 から 10.0.2.26 に変更される。
SNAT アクションにより、これらのサーバーに送信されるトラフィックの NAT が処理されます。しかし、SNAT アクションは受信トラフィックにのみ適用されるため、動的 NAT を使用して、メール サーバーから外部インターフェイスに送信されるトラフィックの発信元 IP アドレスを変換する必要があります。これを行うためには、送信 SMTP トラフィックを処理するポリシーにより動的 NAT を使用します。
動的 NAT 構成
既定の動的 NAT 構成では、3 つのプライベート IP アドレス範囲のいずれかから任意の外部インターフェイスへのすべてのトラフィックに動的 NAT が自動的に適用されます。既定では、RFC 1918 定義のプライベート IP アドレス範囲で開始されて外部インターフェイスに向かうトラフィックで、動的 NAT が有効化されています。
既定の動的 NAT 構成を表示するには、ネットワーク > NAT の順に選択します。
これらの動的 NAT アクションのそれぞれにより、発信元 から 宛先 へトラフィックが変換されます。トラフィックが動的 NAT アクションの発信元と宛先と一致すると、動的 NAT により、発信元 IP アドレスが宛先インターフェイスのプライマリ IP アドレスに変更されます。
3 つ目の既定の動的 NAT アクション:10.0.0.0/8 - Any-External により、メール サーバーからのトラフィックが次のように変更されます。
- メール サーバー 1 からの送信トラフィックで、発信元 IP アドレスが 10.0.1.25 から 203.0.113.2 に変更される。
- メール サーバー 2 からの送信トラフィックで、発信元 IP アドレスが 10.0.1.26 から 203.0.113.2 に変更される。
しかし、この既定の動作は要件を満たしません。各メール サーバーの発信元 IP アドレスが、そのサーバーのパブリック IP アドレスと一致するように変更される必要があります。目的の動作は以下の通りです。
- メール サーバー 1 からの送信トラフィックで、発信元 IP アドレスが 10.0.1.25 から 203.0.113.25 に変更される。
- メール サーバー 2 からの送信トラフィックで、発信元 IP アドレスが 10.0.1.26 から 203.0.113.26 に変更される。
既定の動的 NAT アクションで使用される発信元 IP アドレスを上書きするには、これらの各サーバーからの送信 SMTP トラフィックを処理するポリシーを作成します。各ポリシーで、動的 NAT で使用される発信元 IP アドレスを指定します。この例では、これらのポリシーは、メール サーバー 1 からのトラフィックでは SMTP-out-MS_1、メール サーバー 2 からのトラフィックでは SMTP-out-MS_2 となります。
メール サーバー 1 からのポリシー構成の送信トラフィックを表示するには、以下の手順を実行します:
- SMTP-out-MS_1 ポリシー を開きます。
- 詳細 タブをクリックします。
動的 NAT の このポリシーのすべてのトラフィック と 発信元 IP の設定 オプションが選択されています。発信元 IP アドレスは、メール サーバー 1 のパブリック IP アドレス:203.0.113.25 に設定されています。このポリシーにより処理されるトラフィックでは、動的 NAT により、発信元 IP アドレスが、外部インターフェイスのプライマリ IP アドレスではなく、ポリシーに設定されている発信元 IP アドレスに変更されます。
このポリシーの発信元 IP アドレスが動的 NAT により正しく使用されるようにするには、ポリシーが以下 2 つの要件を満たしている必要があります。
- このポリシーで、1 つのインターフェイスのみからのトラフィック送信が許可されている。
- 動的 NAT の 発信元 IP アドレスの設定 アドレスが、ポリシーの送信先セクションにあるインターフェイスの IP アドレスと同じサブネット上にある。
- ポリシーが上記の要件を満たしていることを確認するには、ポリシー タブをクリックします。
このポリシーでは、以下のトラフィックが許可されています。
送信元:10.0.2.25、メール サーバー 1 のプライベート IP アドレス
送信先:外部、特定の外部インターフェイス名 これは最初の要件を満たしています。
このポリシーの発信元 IP アドレス (203.0.113.25) は、外部インターフェイスの IP アドレス (203.0.113.2) と同じサブネット上にあります。これは 2 つ目の要件を満たしています。
また、構成例には、メール サーバー 2 の送信トラフィックの動的 NAT を処理するように構成されているポリシーが含まれています。メール サーバー 2 からのポリシー構成の送信トラフィックを表示するには、以下の手順を実行します:
- SMTP-out-MS_2 ポリシーを開きます。
- 詳細 タブをクリックして、動的 NAT 発信元 IP アドレス構成を表示します。
- ポリシー タブをクリックして、このポリシーにより処理されるトラフィックの発信元と宛先を表示します。
これら 2 つのポリシーに設定されている発信元 IP アドレスにより、次のように変更されます。
- メール サーバー 1 からの送信トラフィックで、発信元 IP アドレスが 10.0.2.25 から 203.0.113.25 に変更される。
- メール サーバー 2 からの送信トラフィックで、発信元 IP アドレスが 10.0.2.26 から 203.0.113.26 に変更される。
概要
この構成の静的 NAT と動的 NAT アクションおよびポリシーが連携して動作し、両方のメール サーバーへの受信と送信トラフィックの IP パケット ヘッダーにおけるアドレス変換が処理されます。
静的 NAT (SNAT) と動的 NAT (DNAT) 構成設定の組み合わせにより、次のように変更されます。
| トラフィックの方向 | 発信元 IP アドレス | 宛先 IPアドレス | NAT アクション |
|---|---|---|---|
| 外部への受信 | 203.0.113.25 | SNAT により宛先が 10.0.2.25 に変化 | |
| 外部からの送信 | 10.0.2.25 | DNAT により発信元が 203.0.113.25 に変化 | |
| 外部への受信 | 203.0.113.26 | SNAT により宛先が 10.0.2.26 に変化 | |
| 外部からの送信 | 10.0.2.26 | DNAT により発信元が 203.0.113.26 に変化 |
オプション 2 — 1 - 1 NAT を使用する
これらのメール サーバーに NAT を設定するもう 1 つの方法は、静的 NAT と動的 NAT の代わりに 1 - 1 NAT を使用する方法です。1 - 1 NAT では受信と送信トラフィックの両方が処理されるため、静的 NAT と動的 NAT を同じサーバーに構成するよりも少ないステップで 1 - 1 NAT を構成することができます。ここに示されているサンプル構成ファイルは、nat_1-to-1_mail.xml です。
外部インターフェイスの構成
外部インターフェイス構成には、2 つのセカンダリ IP アドレスは含まれていません。これが、オプション 1 の外部インターフェイス構成とは異なる点です。1 - 1 NAT 設定では、構成のためにセカンダリ外部インターフェイスの IP アドレスを追加する必要がありません。
ネットワーク 1 - 1 NAT 構成
ネットワーク 1 - 1 NAT 設定は、1 - 1 NAT チェックボックスが選択されている構成におけるすべてのポリシーにより処理されるトラフィックに適用されます。構成例には、両方のメール サーバーの受信 NAT と送信 NAT を処理する 1 - 1 NAT ルールが含まれています。
1 - 1 NAT 設定を表示するには、以下の手順を実行します:
- Policy Manager で、サンプル構成ファイルを開きます。
- ネットワーク > NAT の順に選択します。
- 1 - 1 NAT タブをクリックします。
この構成の各列は、次のように解釈できます。
インターフェイス
この 1 - 1 NAT アクションは、外部 インターフェイスの受信と送信トラフィックに適用されます。
ホスト数
これにより、この 1 - 1 NAT アクションが適用される IP アドレスの数が指定されます。この場合は、2 つのホストに適用されます。
NAT ベース
NAT ベースは、変換するアドレス範囲内の最低の IP アドレスです。NAT ベース範囲は、一連の連続した IP アドレス (最大がホストの数) で、範囲内の最下位アドレスとして NAT ベース IP アドレスが指定されています。この例では、ホスト数 が 2 であるため、NAT ベースのアドレス範囲は以下のアドレスで構成されます。
203.0.113.25 — メール サーバー 1 のパブリック IP アドレス
203.0.113.26 — メール サーバー 2 のパブリック IP アドレス
実質ベース
実ベースとは、変換する発信元アドレス範囲における最も低い IP アドレスを指しています。実ベース範囲は、一連の連続した IP アドレス (最大がホストの数) で、範囲内の最下位アドレスとして IP アドレスが指定されています。この例では、ホスト数が 2 であるため、実ベースのアドレス範囲は以下のアドレスで構成されます。
10.0.2.25 — メール サーバー 1 のプライベート IP アドレス
10.0.2.26 — メール サーバー 2 のプライベート IP アドレス
この例では、パブリック IP アドレスおよび 2 つのメール サーバーのプライベート IP アドレスが連続しているため、IP アドレス範囲で 1 - 1 NAT マッピングを構成することができます。1 - 1 NAT マッピングを範囲として定義すると、メール サーバー 2 の実ベースと NAT ベースが範囲内の 2 番目のアドレスとなります。
サーバーのパブリックまたはプライベート IP アドレスが連続していない場合は (たとえば、この例のメール サーバー 2 のプライベート IP アドレスが 10.0.2.50 である場合など)、単一の 1 - 1 NAT マッピングを追加して、各サーバーの NAT マッピングを処理することができます。
サーバーに連続する IP アドレスがある場合も、分かりやすくするために、1 - 1 NAT マッピングを 2 つの別個のマッピングとして構成することをお勧めします。構成ファイルの 1 - 1 NAT 構成 (左側) とそれぞれのホストで個別の NAT マッピングを持つ同等の構成 (右側) を並べた下のスクリーンショットを比較してみてください。
IP アドレスの範囲に適用する 1 - 1 NAT ルールを構成する場合も、各サーバーに個別の 1 - 1 NAT ルールを構成する場合も、1 - 1 NAT は同じ方法で動作します。この例で 1 - 1 NAT 構成により、次のように変更されます。
メールサーバー 1 の 1 - 1 NAT :
- 外部インターフェイスへの受信トラフィックで、宛先 IP アドレスが 203.0.113.25 の場合はそれが 10.0.1.25 に変更される。
- 外部インターフェイスからの送信トラフィックで、発信元 IP アドレスが 10.0.1.25 の場合はそれが 203.0.113.25 に変更される。
メールサーバー 2 の 1 - 1 NAT :
- 外部インターフェイスへの受信トラフィックで、宛先 IP アドレスが 203.0.113.26 の場合はそれが 10.0.1.26 に変更される。
- 外部インターフェイスからの送信トラフィックで、発信元 IP アドレスが 10.0.1.26 の場合はそれが 203.0.113.26 に変更される。
の上部で
既定では、SMTP トラフィックで受信は許可されていません。構成例には、2 つのメール サーバーへの受信 SMTP トラフィックを許可する SMTP-proxy ポリシーが含まれています。SMTP プロキシ ポリシーの既定の NAT 設定により 1 - 1 NAT が有効化されるため、ポリシーの既定の NAT 設定を変更する必要はありません。(既定では、すべてのポリシーで 1 - 1 NAT と動的 NAT の両方が有効化されています) 両方がポリシーのトラフィックに適用される場合は、1 - 1 NAT が動的 NAT よりも優先されます。
SMTP プロキシ ポリシーを表示するには、以下の手順を実行します:
- SMTP プロキシ ポリシーを開きます。
このポリシーにより、トラフィックがメール サーバーのパブリック IP アドレスに直接送信されます。これらは、1 - 1 NAT 構成の NAT ベースの IP アドレスです。最初の構成例のポリシーとは異なり、このポリシーでは SNAT アクションは必要ありません。これは、1 - 1 NAT がアドレス変換に対応するためです。
- 詳細 タブをクリックすると、既定のポリシー NAT 設定が表示されます。
1 - 1 NAT (ネットワーク NAT 設定を使用) が有効になっています。これが既定です。
また、構成例には、Any-Optional から External への SMTP トラフィックを処理する SMTP ポリシーも含まれています。既定の 送信 ポリシーでもこのトラフィックが許可されているため、このポリシーはオプションです。SMTP ポリシーと送信ポリシーの両方で、既定で 1 - 1 NAT が有効になっているため、ポリシーの NAT 設定を変更する必要はありません。
その他の考慮すべき点
構成した 1 - 1 NAT 設定は、既定ですべてのポリシーにおいて有効になっています。メール サーバーが他の種類の送信トラフィックにも使用されており、他のトラフィックが 1 - 1 NAT マッピングの対象にならないようにする場合は、そのトラフィックを処理するポリシーの詳細タブで 1 - 1 NAT を無効にしてください。たとえば、外部サーバーからの FTP ダウンロードを行う際にメール サーバーが使用され、その FTP トラフィックがメール サーバーから発信されていないようにみえるようにするには、FTP ポリシーの詳細タブで 1 - 1 NAT 設定をクリアします。
概要
1 - 1 NAT 構成により、単一の場所に双方向の NAT を構成することができ、特定の種類のトラフィックの 1 - 1 NAT を無効にするのでない限り、ポリシーの既定の NAT 設定を変更する必要はありません。
- NAT ベース の宛先 IP アドレス宛ての受信トラフィックでは、1 - 1 NAT により、宛先 IP アドレスが 実ベース の対応する IP アドレスに変更されます。
- 実ベース の発信元 IP アドレスからの送信トラフィックでは、1 - 1 NAT により、発信元 IP アドレスが NAT ベース の対応する IP アドレスに変更されます。
この例において 1 - 1 NAT 構成により、次のように変更されます。
| トラフィックの方向 | 発信元 IP アドレス | 宛先 IPアドレス | NAT アクション |
|---|---|---|---|
| 外部への受信 | 203.0.113.25 | 1 - 1 NAT により宛先が 10.0.1.25 に変化 | |
| 外部からの送信 | 10.0.1.25 | 1 - 1 NAT により発信元が 203.0.113.25 に変化 | |
| 外部への受信 | 203.0.113.26 | 1 - 1 NAT により宛先が 10.0.1.26 に変化 | |
| 外部からの送信 | 10.0.1.26 | 1 - 1 NAT により発信元が 203.0.113.26 に変化 |
結論
この構成例では、外部のメール サーバーまたはユーザーからのトラフィックは、内部の電子メール サーバーのいずれかのパブリック IP アドレスに宛てられます。構成の NAT アクションにより、宛先が自動的にサーバーの内部 IP アドレスに変更されます。メール サーバーから外部インターフェイス経由で送信されるメールでは、構成の NAT アクションにより、発信元 IP アドレスが各サーバーのパブリック IP アドレスに自動的に変更されます。
これらの構成例は、これを構成する 2 つの方法、およびプロセスにおける静的 NAT、動的 NAT、および 1 - 1 NAT の機能を説明するものです。
- 静的 NAT では受信 NAT が処理され、動的 NAT では送信 NAT が処理されます。両方を併用することで、両方向の NAT を処理することができます。
- 1 - 1 NAT では、受信と送信の両方のネットワーク アドレス変換が処理されます。
これらのオプションのいずれかを使用して、独自のネットワークのサーバーに NAT を実装することができます。