2.1.30.4. 送信先NAT(送信先のポート変換あり/HA構成)

2.1.30.4.1. ユースケース

以下のユースケースについてご説明いたします。
<例>公開WebサーバーをECL上に構築し、インターネットからアクセス
• インターネット上の全てのホストから、ロジカルネットワーク(サーバーセグメント)に配置されているWebServer01へアクセス
• グローバルアドレス宛にアクセスされた通信の送信先をWebServer01のアドレスへ変換(送信先NAT)、TCP 80番宛の通信をWebServer01のTCP 8080番宛へポート変換する
dnat-yes-port-structure-ha

2.1.30.4.2. 変換イメージ

dnat-yes-port-traffic

2.1.30.4.3. 前提

ユースケースに応じた以下の作業が、完了していることを前提とします。
Managed Firewallの作成
Managed Firewallのインターフェース設定/ロジカルネットワークへの接続
Managed Firewallのルーティング設定(デフォルトゲートウェイの設定)
• Destination IP :0.0.0.0
• Subnet Mask :0.0.0.0
• Gatewayアドレス:Internet-GWのゲートウェイIPv4アドレス(例:192.168.1.251)
• Interface:デフォルトゲートウェイを設定するポート(例:Port 4)
 ※その他必要に応じて、ルーティング設定を追加してください。
Internet-GWのルーティング設定
• 宛先:送信先NATで使用するグローバルIPアドレス(例:153.x.x.10/32)
• ネクストホップ
   Managed Firewallの当該インターフェースのVRRP IPアドレス(例:192.168.1.254)
     ※その他必要に応じて、ルーティング設定を追加してください。
WebServer01にて必要に応じた設定
 • ルーティング設定、iptables/Windowsファイアウォールなどの設定、名前解決設定など

2.1.30.4.4. 手順①-1 NATオブジェクト作成

Destination NATオブジェクトを作成ください。
設定値を投入後、[保存]ボタンをクリックしてください。

dnat-yes-port-create-nat-object
項目 設定値
NAT Name DNAT_153.x.x.10
External IP Address 153.x.x.10
Mapped IP Address 10.1.1.10
External Interface Port4
Port Forward チェック有
Protocol TCP
External Service Port 80
Mapped Port 8080

注釈

  • External IPアドレスは、他の機器に実際に設定されている(割り当てられている)IPアドレスは使用しないでください。
  • External IPアドレスとMapped IPアドレスは、同一のIPアドレスを使用しないでください。

2.1.30.4.5. 手順①-2 サービスオブジェクト作成

サービスオブジェクトを作成を作成ください。
設定値を投入後、[保存]ボタンをクリックしてください。

dnat-yes-port-create-service-object
項目 設定値
Service Name HTTP8080
Protocol Type TCP
Source Port 空欄
Destination Port 8080

注釈

  • 空欄はAnyとして定義されます。

2.1.30.4.6. 手順①-3 オブジェクトの保存

ファイアウォールポリシーを作成する前にデバイス管理画面の[変更の保存]をして、オブジェクトを反映ください。

save

保存が完了すると、[デバイスからの同期]ボタンのみ表示されます。
synchronize-device

2.1.30.4.7. 手順②-1 ファイアウォールポリシー作成

インターネットからWebサーバーに対して、送信先NATを利用してアクセスするファイアウォールポリシーを作成ください。
設定値を投入後、[保存]ボタンをクリックしてください。
dnat-yes-port-create-policy-single
項目 設定値
Enable チェック有
Incoming Interface Port4
Source Address all
Outgoing Interface Port5
Destination Address Type NAT Object
Destination NAT DNAT_153.x.x.10
Service HTTP8080
Action ACCEPT
NAT チェック無
Log 任意

2.1.30.4.8. 手順②-2 ポリシーの保存

デバイス管理の[変更の保存]をして、ファイアウォールポリシーを反映ください。

save

保存が完了すると、[デバイスからの同期]ボタンのみ表示されます。
synchronize-device
設定は以上です。