ポートフォワーディング
ポートフォワーディングの概要
外部IPアドレスとポートを、プライベートネットワーク内のIPアドレスとポートにマッピングできます。ポートフォワーディングと呼ばれるこのマッピングは、MS-DPC、MS-100、MS-400、MS-500マルチサービスPICでサポートされています。Junos OS リリース 17.4R1 以降では、ポート転送は MS-MPC および MS-MIC でもサポートされています。
ポート転送を使用すると、パケットの宛先アドレスとポートを変更して、ネットワークアドレス変換(NAT)ゲートウェイの正しいホストに到達できます。この変換により、送信元ホストからパケットを受信したポート番号に基づいて、マスカレードネットワーク(通常はプライベートネットワーク)内のホストへの到達が容易になります。このタイプの宛先の例は、プライベートネットワーク内のパブリックHTTPサーバーのホストです。また、宛先アドレスを変換せずにポート転送を設定することもできます。ポートフォワーディングは、エンドポイントに依存しないマッピング(EIM)、エンドポイントに依存しないフィルタリング(EIF)、アドレスプールペア(APP)をサポートしています。
ポートフォワーディングは、FTPアプリケーションレベルゲートウェイ(ALG)でのみ動作し、IPv6 Rapid Deployment(6rd)やデュアルスタックライト(DS-Lite)など、IPv4インフラストラクチャ上でIPv6サービスを提供するテクノロジーには対応していません。ポート転送は、IPv4ネットワーク上の dnat-44 と twice-napt-44 のみをサポートします。
ポートフォワーディングのメリット
インターネット上のパブリックマシンなどのリモートコンピュータが、プライベートネットワーク内に隠されている特定のコンピュータの非標準ポートに接続できるようにします。
スタティック宛先アドレス変換のためのポート フォワーディングの設定
宛先アドレス変換は、ポートフォワーディングで設定できます。ポート転送を使用すると、パケットの宛先アドレスとポートを変更して、ネットワークアドレス変換(NAT)ゲートウェイの正しいホストに到達できます。ポートフォワーディングは、MS-DPC、MS-100、MS-400、MS-500マルチサービスPICでサポートされています。Junos OS リリース 17.4R1 以降では、ポート転送は MS-MPC および MS-MIC でもサポートされています。
ポートフォワーディングによる宛先アドレス変換を設定するには:
IPv4 の Twice NAT でも同様の設定が可能です。 例:Twice NAT によるポート転送の設定を参照してください。
ポートフォワーディングとステートフルファイアウォールは一緒に設定できます。ステートフルファイアウォールは、ポートフォワーディングよりも優先されます。
宛先アドレス変換を使用しないポート転送の設定
宛先アドレスを変換せずにポート転送を設定できます。ポート転送を使用すると、宛先ポートを変更して、ネットワークアドレス変換(NAT)ゲートウェイの正しいポートに到達できます。ポートフォワーディングは、MS-DPC、MS-100、MS-400、MS-500マルチサービスPICでサポートされています。Junos OS リリース 17.4R1 以降では、ポート転送は MS-MPC および MS-MIC でもサポートされています。
IPv4 ネットワークで宛先アドレス変換を使用しないポート転送を構成するには:
ポートフォワーディングとステートフルファイアウォールは一緒に設定できます。ステートフルファイアウォールは、ポートフォワーディングよりも優先されます。
例:Twice NAT によるポート転送の設定
次に、変換タイプとして twice-napt-44 を使用したポート転送を設定する例を示します。この例では、ステートフルファイアウォールと複数のポートマップも設定されています。
ポートフォワーディングは、MS-DPC、MS-100、MS-400、MS-500マルチサービスPICでサポートされています。Junos OS リリース 17.4R1 以降では、ポート転送は MS-MPC および MS-MIC でもサポートされています。
[edit services]
user@host# show
service-set in {
syslog {
host local {
services any;
}
}
stateful-firewall-rules r;
nat-rules r;
interface-service {
service-interface sp-10/0/0.0;
}
}
stateful-firewall {
rule r {
match-direction input;
term t {
from {
destination-port {
range low 20 high 5000;
}
}
then {
reject;
}
}
}
}
nat {
pool x {
address 203.0.113.2/32;
}
rule r {
match-direction input;
term t {
from {
destination-address {
198.51.100.2/32;
}
destination-port {
range low 10 high 20000;
}
}
then {
port-forwarding-mappings y;
translated {
destination-pool x;
translation-type {
twice-napt-44;
}
}
}
}
}
port-forwarding y {
destined-port 45;
translated-port 23;
destined-port 55;
translated-port 33;
destined-port 65;
translated-port 43;
}
}
adaptive-services-pics {
traceoptions {
file sp-trace;
flag all;
}
}
ステートフルファイアウォールは、ポートフォワーディングよりも優先されます。この例では、例えば、20〜5000のポートを宛先とするトラフィックは変換されません。
最大 32 個のポート マップを設定できます。
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。