2.1.30.8. 送信先NAT+NAPT(HA構成)

2.1.30.8.1. ユースケース

以下のユースケースについてご説明いたします。
<例>公開Webサーバー(Host01)をECL上に構築し、インターネットからアクセス(送信先NAT)
公開Webサーバー(Host01)からインターネット上のWebサイトへアクセス(NAPT)
1つのグローバルIPアドレスを利用して設定
dnat-napt-structure-ha

2.1.30.8.2. 変換イメージ

送信先NAT(ポート変換無し)
dnat-no-port-traffic

NAPT
dnat-napt-traffic

2.1.30.8.3. 前提

ユースケースに応じた以下の作業が、完了していることを前提とします。
Managed Firewallの作成
Managed Firewallのインターフェース設定/ロジカルネットワークへの接続
Managed Firewallのルーティング設定(デフォルトゲートウェイの設定)
• Destination IP :0.0.0.0
• Subnet Mask :0.0.0.0
• Gatewayアドレス:Internet-GWのゲートウェイIPv4アドレス(例:192.168.1.251)
• Interface:デフォルトゲートウェイを設定するポート(例:Port 4)
 ※その他必要に応じて、ルーティング設定を追加してください。
Internet-GWのルーティング設定
• 宛先:NAPTで使用するグローバルIPアドレス(例:153.x.x.20/32)
• ネクストホップ
   Managed Firewallの当該インターフェースのVRRP IPアドレス(例:192.168.1.254)
     ※その他必要に応じて、ルーティング設定を追加してください。
Host01にて必要に応じた設定
 • ルーティング設定、iptables/Windowsファイアウォールなどの設定、名前解決設定など

2.1.30.8.4. 手順①-1 アドレスオブジェクト作成

Host01のアドレスオブジェクトを作成ください。
設定値を投入後、[保存]ボタンをクリックしてください。

dnat-dnat-napt-create-address-object

項目

設定値

Address Name

Host_10.1.1.10

Type

Subnet

IP Address

10.1.1.10

Subnet Mask

255.255.255.255

Interface

Port5

2.1.30.8.5. 手順①-2 Destination NATオブジェクト作成

Destination NATオブジェクトを作成ください。
設定値を投入後、[保存]ボタンをクリックしてください。

dnat-napt-create-dnat-object

項目

設定値

NAT Name

DNAT_153.x.x.10

External IP Address

153.x.x.10

Mapped IP Address

10.1.1.10

External Interface

Port4

Port Forward

チェック無

注釈

  • External IPアドレスは、他の機器に実際に設定されている(割り当てられている)IPアドレスは使用しないでください。

  • External IPアドレスとMapped IPアドレスは、同一のIPアドレスを使用しないでください。


2.1.30.8.6. 手順①-3 Source NATオブジェクト作成

NAPT用のSource NATオブジェクトを作成ください。
設定値を投入後、[保存]ボタンをクリックしてください。

dnat-napt-create-snat-object

項目

設定値

NAT Name

SNAT_153.x.x.10

Source IP Address

153.x.x.10

End IP Address

153.x.x.10

注釈

  • 1つのグローバルIPアドレスを割り当てる場合は、Start IP Addressと End IP Addressに同じ設定値(IPアドレス)を入力してください。

  • Source NATオブジェクトは、送信元IPアドレスの変更後 のIPアドレスを定義してください。

  • Source NATオブジェクトのIPアドレスは、 他の機器に実際に設定されている(割り当てられている) IPアドレスは使用しないでください。


2.1.30.8.7. 手順①-4 オブジェクトの保存

ファイアウォールポリシーを作成する前にデバイス管理画面の[変更の保存]をして、オブジェクトを反映ください。

save

保存が完了すると、[デバイスからの同期]ボタンのみ表示されます。
synchronize-device

2.1.30.8.8. 手順②-1 ファイアウォールポリシー作成

インターネットからWebサーバー(Host01)に対して、送信先NATを利用してアクセス するファイアウォールポリシーを作成ください。
設定値を投入後、[保存]ボタンをクリックしてください。
dnat-napt-create-dnat-policy-ha

項目

設定値

Enable

チェック有

Incoming Interface

Port4

Source Address

all

Outgoing Interface

Port5

Destination Address Type

NAT Object

Destination NAT

DNAT_153.x.x.10

Service

HTTP

Action

ACCEPT

NAT

チェック無

Log

任意

2.1.30.8.9. 手順②-2 ファイアウォールポリシー作成

ECL上のHost01がインターネット上のWebサイトに対して、NAPTを利用してアクセスする ファイアウォールポリシーを作成ください。
設定値を投入後、[保存]ボタンをクリックしてください。
dnat-napt-create-napt-policy-ha

項目

設定値

Enable

チェック有

Incoming Interface

Port5

Source Address

Host_10.1.1.10

Outgoing Interface

Port4

Destination Address Type

Address Object

Destination NAT

all

Service

HTTP

Action

ACCEPT

NAT

チェック有

NAPT Object

SNAT_153.x.x.10

Log

任意

注釈

  • DNSサーバーなどで名前解決している場合は、必要な通信を許可してください。


2.1.30.8.10. 手順②-2 ポリシーの保存

デバイス管理の[変更の保存]をして、ファイアウォールポリシーを反映ください。

save

保存が完了すると、[デバイスからの同期]ボタンのみ表示されます。
synchronize-device
設定は以上です。
2.1.30.7. 送信先NAT+NAPT(Single構成)
2.1.30.9. 共通機能をManaged FW経由で利用する際のNAT構成例