関連トピック
1 - 1 NAT について
1 - 1 NAT を有効化すると、Firebox は 1 つまたは複数のプライベート IP アドレスを、1 つまたは複数のパブリック IP アドレスにマップします。これにより、内部ネットワーク リソースを、インターネットからアクセス可能な電子メールサーバーのようにすることができます。
1 -1 - 1 NAT は、1 つの IP アドレス、IP アドレスの範囲、またはサブネットに適用することができます。1 - 1 NAT ルールは、常に動的 NAT よりも優先されます。
1 - 1 NAT を使用する別のインターフェイス上に配置されているコンピュータに接続する場合は、そのコンピュータのパブリック (NAT ベース) IP アドレスを使用する必要があります。これに問題がある場合は、1 - 1 NAT を無効にして静的 NAT を使用します。
一般的な用途
管理者は通常、公開する必要があるプライベート IP アドレスを持つ内部サーバーに 1 - 1 NAT を使用します。たとえば、内部ネットワークの電子メールサーバーで 1 - 1 NAT を構成することができます。内部ネットワークのユーザーは、プライベート IP アドレスを使用して電子メール サーバーに接続します。ネットワーク外部のユーザーは、1 - 1 NAT 設定で指定したパブリック IP アドレスを使用して電子メール サーバーに接続します。
1 - 1 NAT は、複数の内部サーバーでも使用できます。たとえば、5 つの内部電子メールサーバーがある場合、1 - 1 NAT を使用してパブリック IP アドレスを内部サーバーにマップすることができます。
1 - 1 NAT を構成する際、内部サーバーの IP アドレスは変更する必要がありません。
例 — 単一サーバー
この例は、内部電子メール サーバーの 1 - 1 NAT 構成について説明します。1 - 1 NAT 構成で使用されるパブリック IP アドレスは、イーサネット インターフェイスの既存の IP アドレスと同じであってはなりません。
この例では、
- Firebox には、203.0.113.100/24 の外部インターフェイス IP アドレスがあります。
- 1 つの内部電子メール サーバーは、プライベート IP アドレス 10.0.1.11 を持ちます
- このプライベート IP アドレスを パブリック IP アドレスと関連付けます
1 - 1 NAT ルールを追加して、内部電子メール サーバーのプライベート IP アドレスを、対応するパブリック IP アドレスに関連付けることができます。これを行うには、外部インターフェイスと同じネットワーク サブネット上の未使用のパブリック IP アドレスを選択します。たとえば、パブリック IP アドレスの場合は、203.0.113.11 となります。電子メール サーバーが解決する先の DNS レコードを作成します。
その後、電子メール サーバーのプライベート(実)IP アドレスを対応するパブリック IP アドレスにマップする、外部インターフェイスを通過するトラフィックの 1 - 1 NAT ルールを作成します。
| 実質ベース | NAT ベース |
|---|---|
|
10.0.1.11 |
203.0.113.11 |
この 1 - 1 NAT ルールにより、対応する IP アドレスに静的な双方向の関係が成立します。1 - 1 NAT ルールを適用すると、Firebox により、アドレスのペアの間に双方向のルーティングおよび NAT 関係が作成されます。1 - 1 NAT は、Firebox により保護されているネットワークから送信されるトラフィック上でも動作します。
この例を構成する方法の詳細については、次を参照してください:ファイアウォール 1 - 1 NAT を構成する
例 — 複数のサーバー
同じようなサーバーが複数ある (複数の電子メール サーバーなど) 場合は、同じサーバーに静的 NAT を構成するよりも 1 - 1 NAT を構成する方が簡単です。1 - 1 NAT 構成で使用されるパブリック IP アドレスは、イーサネット インターフェイスの既存の IP アドレスと同じであってはなりません。
この例では、
- Firebox には、203.0.113.100/24 の外部インターフェイス IP アドレスがあります。
- 5 つの内部電子メール サーバーには、10.0.1.11 〜 10.0.1.15 の範囲のプライベート IP アドレスがあります。
- これらのプライベート IP アドレスを 5 つのパブリック IP アドレスと関連付けます。
1 - 1 NAT ルールを追加して、それぞれのプライベート電子メール サーバーを対応するパブリック IP アドレスに関連付けることができます。これを行うには、外部インターフェイスと同じネットワーク サブネット上の 5 つの未使用のパブリック IP アドレスを選択します。たとえば、これらのパブリック IP アドレスは 203.0.113.11 〜 203.0.113.15 の範囲にある可能性があります。電子メール サーバーが解決する先の DNS レコードを作成します。
その後、電子メール サーバーの 5 つのプライベート(実)IP アドレスの IP 範囲を、対応する 5 つのパブリック IP アドレス セットにマッピングする外部インターフェイスを通過するトラフィックの 1 - 1 NAT ルールを作成します。
| 実質ベース | NAT ベース | 範囲 |
|---|---|---|
|
10.0.1.11 10.0.1.12 10.0.1.13 10.0.1.14 10.0.1.15 |
203.0.113.11 203.0.113.12 203.0.113.13 203.0.113.14 203.0.113.15 |
5 |
この 1 - 1 NAT ルールにより、対応する IP アドレス ペアの間に静的な双方向の関係が成立します。1 - 1 NAT ルールを適用すると、Firebox により、2 つのアドレス範囲内のアドレスのペアの間に双方向のルーティングおよび NAT 関係が作成されます。1 - 1 NAT は、Firebox により保護されているネットワークから送信されるトラフィック上でも動作します。
その他の例については、次を参照してください:1 - 1 NAT の例
1 - 1 NAT および VPN について
VPN トンネルを作成した場合、その VPN トンネルの両端のネットワークでは、ネットワーク アドレスの範囲が異なる必要があります。また、同じプライベート ネットワーク アドレスを使用する 2 つのネットワーク間で VPN トンネルを作成する必要がある場合は、1 - 1 NAT を使用できます。リモートネットワークのネットワーク範囲がローカル ネットワークと同一の場合は、1 - 1 NAT を使用するように VPN を構成します。
- BOVPN 仮想インターフェイスについては、その他のインターフェイスと同じように 1 - 1 NAT を構成します。1 - 1 NAT のインターフェイスとして BOVPN 仮想インターフェイス名を選択することができます。
- BOVPN 仮想インターフェイス以外の Branch Office VPN トンネルの場合は、Branch Office VPN ゲートウェイとトンネルの設定で 1 - 1 NAT を構成する必要があります。詳細については、次を参照してください:Branch Office VPN トンネル経由で 1 - 1 NAT を構成する。
関連情報
ビデオ チュートリアル: NAT を使用し始める。