Firebox の配下でパブリック IP アドレスを使用する

サンプル構成ファイル — WSM v11.10.1 で作成

改訂2018/01/23

ユースケース

Firebox によって保護されているネットワークで、パブリックにルーティング可能な IP アドレスを使用する理由はいくつかあります。たとえば、ネットワークにおけるパブリックにアクセス可能なサーバーにおいて、パブリック IP アドレスをプライベート IP アドレスに変換するために NAT を使用するのは回避したほうがいいかもしれません。NAT ではうまく機能しないサービスを使用する必要がある場合もあります。または、Firebox で複数 WAN を使用して、ネットワークのサーバーのパブリック IP アドレスへの冗長パスを作成したいと考えるかもしれません。

解決方法の概要

この構成例には、Firebox の配下にあるプライベート ネットワークのパブリック サブネットを構成するさまざまな方法を示す 3 つのシナリオの Firebox 構成が含まれています。これらの構成シナリオは以下の通りです。

  • シナリオ 1 — Firebox の配下にあるパブリック サブネット - シングル WAN、/24 サブネット
  • シナリオ 2 — Firebox の配下にあるパブリック サブネット - シングル WAN、/24 サブネット+ 2 つの /25 サブネット
  • シナリオ 3 — Firebox の配下にあるパブリック サブネット - 複数 WAN

一般的にこれらのソリューションでは、以下が必要です。

  • ファイアウォールの背後にあるパブリック IP アドレスにトラフィックをルーティングできるように、インターネット ルータに静的ルートを追加する。
  • パブリックにルーティング可能なサブネットのパブリック IP アドレスを使用するように Firebox のオプショナル インターフェイスを構成する。
  • Firebox の配下にあるパブリック サブネットに出入りするトラフィックを許可するようにポリシーと NAT を構成する。

この構成例は、参考のために提供されています。お客様のネットワーク環境によっては、構成の追加設定が必要になる場合や、より適切な場合があります。

サンプル構成ファイル

参考のため、このドキュメントにはサンプル構成ファイルが含まれています。これらの構成ファイルは、public_IP_Behind_Firebox_config.zip ファイルに含まれています。

構成ファイル名:

  • シナリオ 1 — public_subnet_basic.xml
  • シナリオ 2 — public_subnet_supernet.xml
  • シナリオ 3 —public_subnet_multi-wan.xml

Policy Manager で開いて、サンプルの各構成ファイルの詳細を調べることができます。

シナリオ 1 — 任意のシングル WAN のパブリック サブネット

このシナリオでは、パブリック サブネット IP アドレス:198.51.100.0/24 を使用するように任意ネットワークを構成する方法、およびそのサブネットとの間のトラフィックのポリシーを構成する方法を示します。

任意ネットワークのパブリック IP サブネットを持つネットワークの図

このシングル WAN 構成には、以下の特性があります:

  • 単一の外部インターフェイス
  • 静的ルーティング
  • 可変サイズのサブネットで動作

構成の概要:

  • Firebox とインターネットの間のルータに静的ルートを追加します。
  • 任意ネットワーク パブリック サブネットからのパブリック IP アドレスを Firebox のオプショナル インターフェイスに割り当てます。
  • パブリック サブネットが動的 NAT 構成に含まれていないことを確認してください。これは、このサブネットからの送信トラフィックのアドレス変換に対処する必要がないようにするためです。

このシナリオのサンプル構成ファイルの名前は、public_subnet_basic.xml です。

ルータの構成

このシナリオでは、Firebox とインターネットの間のルータには IP アドレス:203.0.113.1 が設定されています。この Firebox 構成を使用する前に、外部インターフェイスに接続するルータに静的ルートを追加する必要があります。この例では、ルータにパブリック サブネット:198.51.100.0/24 への静的ルートが存在し、次のホップが 203.0.113.2 (Firebox 外部インターフェイスの IP アドレス) に設定されている必要があります。

Firebox ネットワーク構成

オプショナル インターフェイスは、198.51.100.0/24 パブリック サブネットの IP アドレスで構成されています。

[ネットワーク構成] ダイアログボックスのスクリーンショット

の上部で

内部ネットワークのサーバーのパブリック IP アドレスへの受信トラフィックを処理するポリシーを作成することができます。構成例では、ポリシー SMTP-proxy-in により、任意ネットワークのメール サーバーへの受信トラフィックが処理されます。この場合は、198.51.100.25 が任意ネットワークのメール サーバーのパブリック IP アドレスとなります。メール サーバーの IP アドレスがこのポリシーの宛先 IP アドレスとなります。

SMTP-proxy-In ポリシーのスクリーンショット

この例は、SMTP サーバーへのトラフィックを対象としています。このパブリック サブネットの他のサーバーへの受信トラフィックを処理するポリシーを作成することもできます。

このネットワークのパブリック サーバーからの送信トラフィックを処理する個別の送信ポリシーを作成する必要はありません。これは、既定の送信ポリシーですでにこのトラフィックが許可されているためです。この任意ネットワークのサーバーからの送信トラフィックには NAT を使用することは望ましくありません。送信ポリシーで NAT が有効化されている場合でも (詳細タブ)、この任意ネットワークからの送信トラフィックでは NAT は発生しません。これは、このサブネットのパブリック IP アドレス範囲が、動的 NAT または 1 - 1 NAT エントリのいずれにも指定されていないためです。

シナリオ 2 — 任意のシングル WAN スーパーネットのパブリック サブネット

Firebox の配下にあるネットワークに /24 サブネット全体を割り当てたくない場合もあります。代わりに、より大きなネットマスクを使用して、サブネットをより小さなサブネットに分割することができます。これは、異なる Firebox インターフェイスで使用することができます。分割する元のサブネットは、より小さいサブネットのスーパーネットとなります。

たとえば、ISP からパブリック IP アドレス サブネット:203.0.113.0/24 が割り当てられている場合は、/25 ネットマスクを使用して、このサブネットを 2 つの小さいサブネットに分割することができます。そして、任意ネットワークに小さいサブネットの 1 つを使用し、外部ネットワークにはさらに小さいサブネットを使用することができます。以下はその分割の仕組みの例です。

サブネット:203.0.113.0/24 には、IP アドレス:203.0.113.0 - 203.0.113.255 が含まれています。

/25 ネットマスクを使用して、この /24 サブネットを 2 つの /25 サブネットに分割することができます。これには、元のサブネットの半分のアドレスが含まれます。

サブネット:203.0.113.0/25 には、IP アドレス:203.0.113.0 - 203.0.113.127 が含まれています。

サブネット:203.0.113.128/25 には、IP アドレス:203.0.113.128 - 203.0.113.255 が含まれています。

/24 ネットワークは、2 つの /25 サブネットのスーパーネットです。この例におけるスーパーネットとサブネットの関係は以下のようになります。

この例では、1 つの /24 サブネットを 2 つの小さいサブネットに分割します。より多くのパブリック IP アドレスを Firebox の配下にある他のインターフェイスに割り当てる場合は、外部インターフェイスに割り当てられている /25 サブネットをさらに減らすことができます。

シナリオ 2 はシナリオ 1 と似ていますが、シナリオ 2 では任意ネットワークに 203.0.113.0/25 を、外部ネットワークに 203.0.113.128/25 のパブリック サブネットを使用する方法が示されています。

シナリオ 2 のネットワーク図

このシングル WAN 構成には、以下の特性があります:

  • 単一の外部インターフェイス
  • 静的ルーティング
  • /25 ネットマスクを使用して、/24 サブネットを 2 つの小さいサブネットに分割

この構成は、外部ネットワークと任意ネットワークで使用されるネットワーク アドレス以外はシナリオ 1 と同じです。

構成の概要:

  • Firebox とインターネットの間のルータに静的ルートを追加します。
  • /25 外部ネットワーク サブネットからのパブリック IP アドレスを外部インターフェイスに割り当てます。
  • /25 任意ネットワーク パブリック サブネットからのパブリック IP アドレスを Firebox のオプショナル インターフェイスに割り当てます。
  • パブリック サブネットが動的 NAT 構成に含まれていないことを確認してください。これは、このサブネットからの送信トラフィックのアドレス変換に対処しなくてよいようにするためです。

このシナリオのサンプル構成ファイルの名前は、public_subnet_supernet.xml です。

ルータの構成

このシナリオでは、Firebox とインターネットの間のルータには IP アドレス:203.0.113.254 が設定されています。この Firebox 構成を使用する前に、外部インターフェイスに接続するルータに静的ルートを追加する必要があります。この例では、ルータにパブリック サブネット:203.0.113.0/25 への静的ルートが存在し、次のホップが 203.0.113.253 (Firebox 外部インターフェイスの IP アドレス) に設定されている必要があります。

Firebox ネットワーク構成

外部インターフェイスは、IP アドレス:203.0.113.253/25 (203.0.113.128/25 サブネットからの IP アドレス) で構成されています。

オプショナル インターフェイスは、IP アドレス:203.0.113.1/25 (203.0.113.0/25 サブネットの IP アドレス) で構成されています。

[ネットワーク構成] ダイアログボックスのスクリーンショット

の上部で

内部ネットワークのサーバーのパブリック IP アドレスへの受信トラフィックを処理するポリシーを作成することができます。構成例では、ポリシー SMTP-proxy-in により、任意ネットワークのメール サーバーへの受信トラフィックが処理されます。この場合は、203.0.113.25 が任意ネットワークのメール サーバーのパブリック IP アドレスとなります。メール サーバーの IP アドレスがこのポリシーの宛先 IP アドレスとなります。

SMTP-proxy-in ポリシーのポリシー プロパティの編集のダイアログ ボックスのスクリーンショット

この例は、メール サーバーを対象としています。このパブリック サブネットの他のサーバーへの受信トラフィックを処理するポリシーを作成することもできます。

このネットワークのパブリック サーバーからの送信トラフィックを処理する個別の送信ポリシーを作成する必要はありません。これは、既定の送信ポリシーですでにこのトラフィックが許可されているためです。この任意ネットワークのサーバーからの送信トラフィックには NAT を使用することは望ましくありません。送信ポリシーで NAT が有効化されている場合でも (詳細タブ)、この任意ネットワークからの送信トラフィックでは NAT は発生しません。これは、このサブネットのパブリック IP アドレス範囲が、動的 NAT または 1 - 1 NAT エントリのいずれにも指定されていないためです。

シナリオ 3 — 任意の複数 WAN のパブリック サブネット

この複数 WAN 構成はシングル WAN 構成に似ていますが、2 つの外部インターフェイス間のフェール オーバーがサポートされています。インターネット アクセスのために Firebox から 2 つの異なる ISP に接続する場合はこの構成が適切です。

複数 WAN シナリオのネットワーク図

この構成には、以下の特性があります。

  • 2 つの外部インターフェイス (External-1 と External-2)
  • 静的ルーティング
  • /24 より小さいサブネットでも動作可
  • 実際のパブリック IP アドレスへの受信パスはまだ単一のパスにある

構成の概要:

  • Firebox External-1 インターフェイスとインターネットの間のルータに静的ルートを追加します。
  • 任意ネットワーク パブリック サブネットからのパブリック IP アドレスを Firebox のオプショナル インターフェイスに割り当てます。
  • パブリック サブネットを External-2 の IP アドレスに変換するための動的 NAT エントリを追加します (External-2 インターフェイス経由の送信トラフィック)。
  • 同じホストに接続する 2 つのエントリ (1 つは各外部インターフェイスからのトラフィック用) で受信ポリシーを構成します。
  • 任意ネットワークまたはパブリック サブネットを使用する任意ネットワークのホストに関わるポリシーで 1 - 1 NAT を無効化します。

このシナリオの構成ファイルをチェックするには、Policy Manager で public_subnet_multi-wan.xml を開きます。

ルータの構成

この Firebox 構成を使用する前に、External-1 インターフェイスに接続するルータに静的ルートを追加する必要があります。このシナリオでは、ルータにパブリック サブネット:198.51.100.0/24 への静的ルートが存在し、次のホップが 203.0.113.2 (Firebox 外部インターフェイスの IP アドレス) に設定されている必要があります。

External-2 インターフェイスに接続するルータに静的ルートを追加する必要はありません。代わりに、受信ポリシーで静的 NAT ルールを使用して、External-2 インターフェイスで受信するトラフィックを、任意ネットワークのホストのパブリック IP アドレスにルーティングします。

Firebox ネットワーク構成

シングル WAN 構成と同様に、オプショナル インターフェイスは、198.51.100.0/24 パブリック サブネットの IP アドレスで構成されています。

[ネットワーク構成] ダイアログボックスのスクリーンショット

この構成には、External-1 (203.0.113.2/30) と External-2 (192.0.2.2/30) の 2 つの外部インターフェイスが含まれています。

動的 NAT 構成

構成には、任意ネットワークから External-2 インターフェイスへの送信トラフィックのために追加の動的 NAT ルールが含まれています。

動的 NAT の構成のスクリーンショット

動的 NAT ルールは、198.51.100.25 - External-2 です。

External-2 インターフェイスから出る SMTP サーバーからの送信トラフィックでは、この動的 NAT ルールにより、発信元 IP アドレスが 198.51.100.25 から External-2 インターフェイスの IP アドレスに変更されます。

任意のパブリック IP サブネットに他のサーバーがある場合は、これらのエントリも動的 NAT 構成に追加します。たとえば、このネットワークに IP アドレス:198.51.100.80 の Web サーバーがある場合は、動的 NAT ルールは 198.51.100.80 - External-2 となります。

の上部で

内部ネットワークのサーバーのパブリック IP アドレスへの受信トラフィックを処理するポリシーを作成することができます。構成例では、ポリシー SMTP-proxy-in により、任意ネットワークのメール サーバーへの受信トラフィックが処理されます。この場合は、198.51.100.25 が任意ネットワークのメール サーバーのパブリック IP アドレスとなります。このメール サーバーへのトラフィックは 2 つの外部インターフェイスのいずれかを経由して到達できるため、このポリシーの宛先アドレスには 2 つのエントリがあります。

  • メール サーバーの実際のパブリック IP アドレス (198.51.100.25)
  • External-2 IP アドレス (192.0.2.2) をメール サーバーの実際の IP アドレス (198.51.100.25) に変換する静的 NAT エントリ

SMTP-proxy-in ポリシーのポリシー プロパティの編集のダイアログ ボックスのスクリーンショット

この構成では、動的 NAT と静的 NAT が連動して、External-2 インターフェイスを経由するトラフィックの IP アドレス変換が処理されます。

  • 動的 NAT — External-2 インターフェイスから出る送信トラフィックのアドレス変換を処理する。
  • 静的 NAT — External-2 インターフェイスに入る SMTP サーバーへの受信トラフィックのアドレス変換を処理する。

DNS レコード

この複数 WAN 構成には、各サーバーに接続するために使用できる 2 つのパブリック IP アドレスがあります。したがって、いずれかのアドレスの受信トラフィックを処理する DNS レコードを構成する必要があります。各ホストで、ホストの実際のパブリック IP アドレス (External-1 インターフェイスの IP アドレス経由でルーティング可能) を持つ 1 つの DNS レコードおよび External-2 インターフェイスの IP アドレスを持つ 2 つ目の DNS レコードが必要です。

パブリック IP アドレスが 198.51.100.25 のメール サーバーを持つこのネットワーク例では、メール サーバーの NS レコードは以下のようになります。

company.com IN MX 5 mail1.company.com

company.com IN MX 10 mail2.company.com

mail1 IN A 198.51.100.25

mail2 IN A 192.0.2.2

任意ネットワークにパブリック IP アドレスが 198.51.100.80 の Web サーバーを持つこのネットワーク例では、Web サーバーの NS レコードは以下のようになります。

www1.company.com. IN A 198.51.100.80

www2.company.com. IN A 192.0.2.2

この構成例には、静的ルーティングを使用する複数 WAN についての説明が含まれています。動的ルートを使用する場合は、Firebox の配下にあるパブリック サブネット (/24 以上) を構成することもできます。

送信ポリシー

これらのサンプル構成ファイルには、このネットワークのパブリック サーバーからの送信トラフィックを処理する個別の送信ポリシーは含まれていません。これは、既定の送信ポリシーですでにこのトラフィックが許可されているためです。構成から送信ポリシーを削除する場合、またはこれらのパブリック サーバーからのトラフィックに関連するログ メッセージをより簡単に監視できるようにするには、各パブリック サーバーからの送信トラフィックを処理する一意のポリシーを作成することをお勧めします。たとえば、メール サーバーから外部インターフェイスへの送信トラフィックを処理するプロキシ ポリシーを追加することができます。このポリシーは以下のようになります。

SMTP-proxy-Public-IP-Out ポリシーのスクリーンショット

このポリシーにより、198.51.100.25 のサーバーから任意の外部インターフェイスへの送信 SMTP トラフィックが処理されます。ネットワークにパブリック IP アドレスを持つ他のサーバーがある場合は、各サーバーからの送信トラフィックを処理するポリシーを作成することができます。

結論

この構成例は、Firebox で保護されている任意ネットワークのパブリック IP アドレスを持つサブネットを構成する 3 つの方法を説明するものです。この 3 つの構成シナリオにより、NAT を使用して、Firebox で保護されているネットワークの (パブリックにルーティング可能な) IP アドレスにトラフィックをルーティングする方法についていくつかのアイデアが得られたと思います。

パブリックにアクセス可能なプライベート ネットワークのサーバーでプライベート IP アドレスを使用することもできます。詳細については、構成例 ページに記載されている構成例:プライベート ネットワークのプライベート IP アドレスを持つサーバーへのパブリック アクセスに NAT を使用する を参照してください。

構成には、任意ネットワークから External-2 インターフェイスへの送信トラフィックのために追加の動的 NAT ルールが含まれています。

フィードバックの送信     サポートのリクエスト     全製品ドキュメント     技術検索

© 2018 WatchGuard Technologies, Inc. All rights reserved. WatchGuard、WatchGuard ロゴ、WatchGuard Dimension、Firebox、Core、Fireware および LiveSecurity は、米国および他の国における WatchGuard Technologies の登録商標または商標です。