関連トピック
静的 NAT を構成する
静的 NAT はポート ツー ホストの NAT であり、ポート フォワーディングとも呼ばれています。静的 NAT では、ホストがネットワークから外部インターフェイスまたはオプショナル インターフェイスのポートにパケットを送信すると、静的 NAT により、宛先 IP アドレスがファイアウォールの背後の IP アドレスとポートに変更されます。ソフトウェア アプリケーションで複数のポートを使用していて、そのポートが動的に選択されている場合は、1 - 1 NAT を使用する必要があります。または、Firebox のプロキシによってこの種類のトラフィックが管理されているかどうかを確認してください。静的 NAT は、Firebox により保護されているネットワークからの接続でも動作します。
Firebox の外部インターフェイスまたはオプショナル インターフェイスへの接続の静的 NAT を構成することができます。オプショナル インターフェイスの静的 NAT は、Fireware OS v11.8.1 以降でサポートされています。信頼済みインターフェイスまたはカスタム インターフェイスへの接続の静的 NAT を構成することができます。BOVPN または Mobile VPN 接続の静的 NAT は構成することができません。
デバイス構成テンプレートのオプショナル インターフェイスの静的 NAT を構成することができます。デバイス構成テンプレートで SNAT アクションを構成する方法の詳細については、次を参照してください:SNAT アクションを構成する。
静的 NAT を使用すると、内部サーバーへの接続を、サーバーの実際の IP アドレスではなく、Firebox インターフェイスの IP アドレス宛てにすることができます。たとえば、プライベート IP アドレスを持つ SMTP 電子メール サーバーを Firebox の背後に配置し、SMTP ポリシーで静的 NAT を構成します。そうすると、Firebox はポート 25 で接続を受信して、すべての SMTP 接続を Firebox の背後の SMTP サーバーの実アドレスに送信します。
デバイスで Fireware OS v11.0-v11.3.x が実行されている場合は、Policy Manager で静的 NAT を構成する手順が異なります。詳細については、Fireware XTM WatchGuard System Manager v11.3.x ヘルプで、静的 NAT について を参照してください。
静的 NAT アクションを追加する際に、必要に応じて、アクションの発信元 IP アドレスを指定することができます。また、Firebox が静的 NAT アクションのパラメータと一致する接続を受信すると、発信元 IP アドレスが、指定されている IP アドレスに変更されます。各 SNAT メンバーに対して異なる発信元 IP アドレスを指定することができます。
また、静的 NAT アクションでポート アドレス変換(PAT)を有効化することができます。PAT を有効にすると、パケットの宛先を変更して、別の内部ホストと別のポートを指定することができます。
静的 NAT の構成方法のデモについては、ビデオ チュートリアル NAT を使用し始める を参照してください。
静的 NAT アクションを追加する
Fireware Web UI で、1 つまたは複数のポリシーに静的 NAT アクションを定義する必要があります。そうすれば、それを使用できるようになります。
- ファイアウォール > SNAT の順に選択します。
SNAT ページが表示されます。 - 追加 をクリックします。
SNAT の追加 ページが表示されます。
- 名前 テキスト ボックスに、この SNAT アクションの名前を入力します。
- (任意) 説明 テキスト ボックスに、この SNAT アクションの説明を入力します。
- 静的 NAT を選択します。
これが既定の選択です。 - 追加 をクリックします。
メンバーの追加 ダイアログ ボックスが表示されます。
- 外部/任意 IP アドレス ドロップダウン リストから、このアクションで使用する外部インターフェイスまたはオプショナル インターフェイスの IP アドレスまたはエイリアスを選択します。
たとえば、単一の外部 IP アドレスのみにアドレス指定されているパケットの静的 NAT を使用する場合は、外部 IP アドレスまたはエイリアスを選択します。または、任意の IP インターフェイスにアドレス指定されているパケットの静的 NAT を使用する場合は、Any-Optional エイリアスを選択します。
- この静的 NAT アクションに発信元 IP アドレスを指定するには、発信元 IP の設定 チェックボックスを選択します。横のテキスト ボックスに、発信元 IP アドレスを入力します。
- 内部 IP アドレス テキスト ボックスに、信頼済みネットワークまたはオプショナル ネットワークに宛先を入力します。
- ポート アドレス トランザクション (PAT)を有効にするには、内部ポートを異なるポートに設定する チェック ボックスを選択します。そばのテキスト ボックスに、ポート番号を入力または選択します。
TCP または UDP 以外の接続を許可するポリシーで SNAT アクションを使用する場合は、内部ポート設定はその接続に使用されません。
- OK をクリックします。
静的 NAT のルートが [メンバーおよびアドレス] ボックスの一覧に表示されます。 - このアクションに別のメンバーを追加するには、追加 をクリックして、ステップ 7〜12 を繰り返します。
- 保存 をクリックします。
SNAT ページに、新しい SNAT アクションが表示されます。
Policy Manager で静的 NAT アクションを作成してポリシーに追加する、またはポリシーの構成内から静的 NAT アクションを作成することができます。
- 設定 > アクション > SNAT の順に選択します。
印刷 ダイアログ ボックスが表示されます。 - 追加 をクリックします。
[SNATの追加] ダイアログ ボックスが表示されます。
- SNAT 名 テキスト ボックスに、この SNAT アクションの名前を入力します。
- (任意) 説明 テキスト ボックスに、この SNAT アクションの説明を入力します。
- 静的 NAT を選択します。
このオプションが既定で選択されます。 - 追加 をクリックします。
[静的 NAT の追加] ダイアログ ボックスが表示されます。
- 外部/任意 IP アドレス ドロップダウン リストから、このアクションで使用する外部インターフェイスまたはオプショナル インターフェイスの IP アドレスまたはエイリアスを選択します。
たとえば、単一の外部 IP アドレスのみにアドレス指定されているパケットの静的 NAT を使用する場合は、外部 IP アドレスまたはエイリアスを選択します。または、任意の IP インターフェイスにアドレス指定されているパケットの静的 NAT を使用する場合は、Any-Optional エイリアスを選択します。
- この静的 NAT アクションに発信元 IP アドレスを指定するには、発信元 IP の設定 チェックボックスを選択します。横のテキスト ボックスに、発信元 IP アドレスを入力します。
- 内部 IP アドレス テキスト ボックスに、信頼済みネットワークまたはオプショナル ネットワークに宛先を入力します。
- ポート アドレス トランザクション (PAT)を有効にするには、内部ポートを異なるポートに設定する チェック ボックスを選択します。そばのテキスト ボックスに、ポート番号を入力または選択します。
TCP または UDP 以外の接続を許可するポリシーで SNAT アクションを使用する場合は、内部ポート設定はその接続に使用されません。
- OK をクリックします。
静的 NAT のルートが [メンバーおよびアドレス] ボックスの一覧に表示されます。 - このアクションに別のメンバーを追加するには、追加 をクリックして、ステップ 7〜12 を繰り返します。
- OK をクリックします。
新しい SNAT アクションは、SNAT ダイアログ ボックスに表示されます。
静的 NAT アクションをポリシーに追加します。
SNAT アクションを追加した後に、1 つまたは複数のポリシーでそれを使用することができます。
- ファイアウォール > ファイアウォール ポリシー の順に選択します。
- 編集するポリシー名をクリックします。
- 接続 ドロップダウン リストから、許可 を選択します。
静的 NAT を使用するには、ポリシーによって受信接続を許可する必要があります。 - 送信元 セクションで、追加 をクリックします。
メンバーの追加 ダイアログ ボックスが表示されます。
- メンバーの種類 ドロップダウン リストから、静的 NAT を選択します。
構成されている静的 NAT アクションのリストが表示されます。 - このポリシーに追加する静的 NAT アクションを選択します。OK をクリックします。
静的 NAT ルートがポリシー構成の 送信先 セクションに表示されます。 - 保存 をクリックします。
- ポリシーを編集するには、ポリシーをダブルクリックします。
- 接続 ドロップダウン リストから、許可 を選択します。
静的 NAT を使用するには、ポリシーによって受信接続を許可する必要があります。 - 送信元 セクションで、追加 をクリックします。
アドレスの追加 ダイアログ ボックスが表示されます。 - SNAT の追加 をクリックします。
構成済み静的 NAT とサーバー負荷分散アクションのリストが記載された SNAT ダイアログ ボックスが表示されます。
- 追加する構成済み SNAT アクションを選択します。OK をクリックします。
または 追加 をクリックして、新しい静的 NAT アクションを定義します。次のセクション:静的 NAT を構成する に従って、静的 NAT アクションを構成します。 - OK をクリックして、SNAT ダイアログ ボックスを閉じます。
静的 NAT のルートが [選択されたメンバーとアドレス] リストに表示されます。
- OK をクリックして、アドレスの追加 ダイアログ ボックスを閉じます。
- OK をクリックし、ポリシー プロパティ ダイアログ ボックスを閉じます。
静的 NAT アクションを編集または削除する
SNAT アクション リストで SNAT アクションを編集することができます。
- ファイアウォール > SNAT の順に選択します。
SNAT ページが表示されます。 - SNAT アクションを選択します。
- 編集 をクリックします。
SNAT の編集ページが表示されます。 - SNAT アクションを変更します。
SNAT アクションを編集すると、その SNAT アクションを使用するすべてのポリシーに変更が適用されます。 - 保存 をクリックします。
- 設定 > アクション > SNAT の順に選択します。
SNAT ダイアログ ボックスが表示されます。 - SNAT アクションを選択します。
- 編集 をクリックします。
SNAT の編集ページが表示されます。 - SNAT アクションを変更します。
SNAT アクションを編集すると、その SNAT アクションを使用するすべてのポリシーに変更が適用されます。 - OK をクリックします。
また、ポリシーを編集する際に、Policy Manager で SNAT アクションを編集することができます。
- ポリシーをダブルクリックして編集します。
ポリシータブを選択した状態でポリシー プロパティの編集 ダイアログ ボックスが表示されます。 - 送信先 セクションで、編集する SNAT アクションを選択します。
- 編集 をクリックします。
SNAT の編集ダイアログ ボックスが表示されます。 - SNAT アクションを変更します。
ポリシーから SNAT アクションを編集すると、その SNAT アクションを使用するすべてのポリシーに変更が適用されます。 - OK をクリックします。
ポリシーで使用されていない SNAT アクションは削除することができます。
- ファイアウォール > SNAT の順に選択します。
SNAT ページが表示されます - SNAT アクションを選択します。
- 削除 をクリックします。
確認ダイアログ ボックスが表示されます。 - OK をクリックして、SNAT アクションを削除することを確認します。
- 設定 > アクション > SNAT の順に選択します。
SNAT ダイアログ ボックスが表示されます。 - SNAT アクションを選択します。
- 削除 をクリックします。
確認ダイアログ ボックスが表示されます。 - はい をクリックして、SNAT アクションを削除することを確認します。
- OK をクリックします。
静的 NAT のグローバル設定を変更する
既定では、静的 NAT アクションが変更されても、Firebox ではアクティブ接続がクリアされません。変更された SNAT アクションを使用するアクティブ接続が Firebox でクリアされるように、グローバル SNAT 設定を変更することができます。
グローバル SNAT 設定を変更するには、Fireware Web UI または Policy Manager から以下の手順を実行します:
- 設定 > グローバル設定 の順に選択します。
- システム > グローバル設定 の順に選択します。
- ネットワーク タブを選択します。
- トラフィック フロー セクションで、SNAT アクションが変更された際に、SNAT アクションを使用するアクティブ接続をクリアする チェックボックスを選択します。
関連情報
構成の例 — XTM デバイスの背後のパブリック Web サーバー
構成ファイルの例 — XTM デバイスの背後のパブリック Web サーバー