2.1.30.7. 送信先NAT+NAPT(Single構成)

2.1.30.7.1. ユースケース

以下のユースケースについてご説明いたします。
<例>公開Webサーバー(Host01)をECL上に構築し、インターネットからアクセス(送信先NAT)
公開Webサーバー(Host01)からインターネット上のWebサイトへアクセス(NAPT)
1つのグローバルIPアドレスを利用して設定
dnat-napt-structure-single

2.1.30.7.2. 変換イメージ

送信先NAT(ポート変換無し)
dnat-no-port-traffic

NAPT
dnat-napt-traffic

2.1.30.7.3. 前提

ユースケースに応じた以下の作業が、完了していることを前提とします。
Managed Firewallの作成
Managed Firewallのインターフェース設定/ロジカルネットワークへの接続
Managed Firewallのルーティング設定(デフォルトゲートウェイの設定)
• Destination IP :0.0.0.0
• Subnet Mask :0.0.0.0
• Gatewayアドレス:Internet-GWのゲートウェイIPv4アドレス(例:192.168.1.251)
• Interface:デフォルトゲートウェイを設定するポート(例:Port 4)
 ※その他必要に応じて、ルーティング設定を追加してください。
Internet-GWのルーティング設定
• 宛先:NAPTで使用するグローバルIPアドレス(例:153.x.x.20/32)
• ネクストホップ
   Managed Firewallの当該インターフェースのIPアドレス(例:192.168.1.254)
     ※その他必要に応じて、ルーティング設定を追加してください。
Host01にて必要に応じた設定
 • ルーティング設定、iptables/Windowsファイアウォールなどの設定、名前解決設定など

2.1.30.7.4. 手順①-1 アドレスオブジェクト作成

Host01のアドレスオブジェクトを作成ください。
設定値を投入後、[保存]ボタンをクリックしてください。

dnat-dnat-napt-create-address-object
項目 設定値
Address Name Host_10.1.1.10
Type Subnet
IP Address 10.1.1.10
Subnet Mask 255.255.255.255
Interface Port5

2.1.30.7.5. 手順①-2 Destination NATオブジェクト作成

Destination NATオブジェクトを作成ください。
設定値を投入後、[保存]ボタンをクリックしてください。

dnat-napt-create-dnat-object
項目 設定値
NAT Name DNAT_153.x.x.10
External IP Address 153.x.x.10
Mapped IP Address 10.1.1.10
External Interface Port4
Port Forward チェック無

注釈

  • External IPアドレスは、他の機器に実際に設定されている(割り当てられている)IPアドレスは使用しないでください。
  • External IPアドレスとMapped IPアドレスは、同一のIPアドレスを使用しないでください。

2.1.30.7.6. 手順①-3 Source NATオブジェクト作成

NAPT用のSource NATオブジェクトを作成ください。
設定値を投入後、[保存]ボタンをクリックしてください。

dnat-napt-create-snat-object
項目 設定値
NAT Name SNAT_153.x.x.10
Start IP Address 153.x.x.10
End IP Address 153.x.x.10

注釈

  • 1つのグローバルIPアドレスを割り当てる場合は、Start IP Addressと End IP Addressに同じ設定値(IPアドレス)を入力してください。
  • Source NATオブジェクトは、送信元IPアドレスの変更後 のIPアドレスを定義してください。
  • Source NATオブジェクトのIPアドレスは、 他の機器に実際に設定されている(割り当てられている) IPアドレスは使用しないでください。

2.1.30.7.7. 手順①-4 オブジェクトの保存

ファイアウォールポリシーを作成する前にデバイス管理画面の[変更の保存]をして、オブジェクトを反映ください。

save

保存が完了すると、[デバイスからの同期]ボタンのみ表示されます。
synchronize-device

2.1.30.7.8. 手順②-1 ファイアウォールポリシー作成

インターネットからWebサーバー(Host01)に対して、送信先NATを利用してアクセス するファイアウォールポリシーを作成ください。
設定値を投入後、[保存]ボタンをクリックしてください。
dnat-napt-create-dnat-policy-single
項目 設定値
Enable チェック有
Incoming Interface Port4
Source Address all
Outgoing Interface Port5
Destination Address Type NAT Object
Destination NAT DNAT_153.x.x.10
Service HTTP
Action ACCEPT
NAT チェック無
Log 任意

2.1.30.7.9. 手順②-2 ファイアウォールポリシー作成

ECL上のHost01がインターネット上のWebサイトに対して、NAPTを利用してアクセスする ファイアウォールポリシーを作成ください。
設定値を投入後、[保存]ボタンをクリックしてください。
dnat-napt-create-napt-policy-single
項目 設定値
Enable チェック有
Incoming Interface Port5
Source Address Host_10.1.1.10
Outgoing Interface Port4
Destination Address Type Address Object
Destination Address all
Service HTTP
Action ACCEPT
NAT チェック有
NAT mode Use NAPT Object
NAPT Object SNAT_153.x.x.10
Log 任意

注釈

  • DNSサーバーなどで名前解決している場合は、必要な通信を許可してください。

2.1.30.7.10. 手順②-2 ポリシーの保存

デバイス管理の[変更の保存]をして、ファイアウォールポリシーを反映ください。

save

保存が完了すると、[デバイスからの同期]ボタンのみ表示されます。
synchronize-device
設定は以上です。
2.1.30.6. NAPT(HA構成)
2.1.30.8. 送信先NAT+NAPT(HA構成)