1-to-1 NAT を構成する

適用対象: クラウド管理の Firebox

1-to-1 NAT ルールは、あるネットワークの IP アドレスと別のネットワークの IP アドレスをマッピングするのによく使用されます (ノースサウス トラフィック)。また、1-to-1 NAT ルールを使用して、独自のネットワーク内の異なる IP アドレスをマッピングすることもできます (イーストウエストトラフィック)。

任意のインターフェイスの 1-to-1 NAT を構成し、1-to-1 NAT ルールを 1 つの IP アドレス、アドレスの範囲、またはサブネットに適用することができます。1-to-1 NAT ルールは、常に動的 NAT よりも優先されます。

1-to-1 NAT を構成する際、1-to-1 NAT で使用する IP アドレスは他の目的には使用できません。たとえば、受信トラフィックや、VPN などの Firebox の機能にも 1-to-1 NAT の IP アドレスを使用することはできません。

1-to-1 NAT とポリシー設定

既定では、すべての新規のファイアウォール ポリシーで 1-to-1 NAT ルールが使用されます。ポリシーの詳細設定では、1-to-1 NAT を有効化または無効化することができます。ポリシーで 1-to-1 NAT 設定を構成する方法については、次を参照してください:ファイアウォール ポリシーで動的 1-to-1 NAT を構成する

1-to-1 NAT ルールを構成する

各 1-to-1 NAT ルールでは、ホスト、ホストの範囲、またはサブネットを構成できます。また、以下の設定も定義します:

ネットワーク

1-to-1 NAT が適用される外部または内部インターフェイス。Firebox は、インターフェイスで送受信されるパケットに 1-to-1 NAT を適用します。

ホスト数 (IP 範囲のみ)

1-to-1 NAT ルールを適用する範囲に含まれる IP アドレスの数。1-to-1 NAT を適用すると、1 番目の 実ベース IP アドレスは、1 番目の NAT ベース の IP アドレスに変換されます。範囲内の 2 番目の実ベース IP アドレスは、2 番目の NAT ベースの IP アドレスに変換されます。NAT 適用ホスト数に達するまで、この手順が繰り返されます。最大 254 までホストを追加できます。

NAT ベース

1-to-1 NAT ルールを構成する場合は、IP アドレスの範囲を 始点終点 で指定してルールを構成します。NAT ベースとは、アドレスの 終点 の範囲の中で使用できる先頭の IP アドレスです。NAT ベースの IP アドレスは、Firebox が 1-to-1 NAT を適用したときに実ベースの IP アドレスの変更先となるアドレスです。イーサネット インターフェイスの IP アドレスは、NAT ベースには使用できません。外部インターフェイス経由の NAT の場合は、NAT ベースはパブリック IP アドレスとなります。

1-to-1 NAT を使用する別のインターフェイス上のコンピュータに接続するには、そのコンピュータのパブリック (NAT ベース) IP アドレスを使用する必要があります。あるいは、1-to-1 NAT を無効化して静的 NAT を使用することができます。詳細については、次を参照してください:Firebox の静的 NAT アクションを構成する

実ベース

1-to-1 NAT ルールを構成する場合は、IP アドレスの範囲を 始点終点 で指定してルールを構成します。実ベースとは、アドレスの 始点 の範囲の中で使用できる先頭の IP アドレスです。これは、1-to-1 NAT ルールを適用するコンピュータの物理イーサネット インターフェイスに割り当てられる IP アドレスです。実ベース アドレスを持つ Endpoint からのパケットが指定されたインターフェイスを通過すると、Firebox は 1-to-1 NAT アクションを適用します。外部インターフェイス経由の NAT の場合は、実ベースはプライベート IP アドレスとなります。

外部インターフェイスの場合は、実ベース はネットワークのホストの実際(プライベート)の IP アドレスを指し、NAT ベース はプライベート アドレスに関連付けるパブリック IP アドレスを指しています。

パブリック IP アドレスが 1 つ、または少数しかない場合は、1-to-1 NAT を有効にしないでください。パブリック IP アドレスが 1 つしかない場合、1-to-1 NAT は機能しません。パブリック IP アドレスがごく少数の場合は、パブリック IP アドレスをより有効に活用するために静的 NAT (SNAT) の使用を推奨します。詳細については、次を参照してください:Firebox の静的 NAT アクションを構成する

1-to-1 NAT ルールを構成するには、WatchGuard Cloud から以下の手順を実行します。

  1. 構成 > デバイス の順に選択します。
  2. クラウド管理の Firebox を選択します。
  3. デバイス構成 をクリックします。
  4. ネットワーキング セクションから、NAT タイルをクリックします。
    NAT ページが開きます。

Screen shot of the NAT configuration page

  1. 1-to-1 NAT セクションで、1-to-1 NAT を追加 をクリックします。
    ルールを追加する ダイアログ ボックスが開きます。

Screen shot of the Add Rule page

  1. マップの種類 ドロップダウン リストから、次のいずれかのオプションを選択します。
    • 単一の IP — 1 つのホストをマッピングします。
    • IP 範囲 — ホストの範囲をマッピングします。
    • IP サブネット — サブネットをマッピングします。

    IP 範囲 を選択する場合は、254 を超える IP アドレスを持つサブネットまたは範囲を指定しないでください。254 を超える IP アドレスに 1-to-1 NAT を適用したい場合は、複数の 1-to-1 NAT ルールを作成する必要があります。

Screen shot of Add Rule page with all types

  1. ネットワークNAT ベース、および 実ベース の設定を構成します。詳細については、本トピックの 1-to-1 NAT ルールを定義する セクションを参照してください。

Screen shot of Add Rule page with types selected

  1. ホスト数 に値を入力します (IP 範囲のみ)。
  2. 追加 をクリックします。
  3. 構成変更をクラウドに保存するには、保存 をクリックします。

Screen shot of NAT page with network added

  1. NAT IP アドレスを適切なポリシーに追加します。詳細については、次を参照してください:ファイアウォール ポリシーで動的 1-to-1 NAT を構成する

関連トピック

動的 NAT を構成する

Firebox ネットワーク設定について