ポートフォワーディング
ポートフォワーディングの概要
外部 IP アドレスとポートをプライベート ネットワーク内の IP アドレスとポートにマップできます。ポート転送と呼ばれるこのマッピングは、MS-DPC、MS-100、MS-400、およびMS-500マルチサービスPICでサポートされています。Junos OS リリース 17.4R1 以降、MS-MPC および MS-MIC でもポート フォワーディングがサポートされています。
ポート転送を使用すると、パケットの宛先アドレスとポートを変更して、ネットワーク アドレス変換 (NAT) ゲートウェイ内の正しいホストに到達できます。この変換により、発信元ホストからパケットを受信したポート番号に基づいて、マスカレードされた(通常はプライベートの)ネットワーク内のホストへの到達が容易になります。このタイプの宛先の例としては、プライベート・ネットワーク内のパブリックHTTPサーバーのホストがあります。宛先アドレスを変換せずにポートフォワーディングを設定することもできます。ポートフォワーディングは、エンドポイントに依存しないマッピング(EIM)、エンドポイントに依存しないフィルタリング(EIF)、およびアドレスプーリングペア(APP)をサポートします。
ポート フォワーディングは、FTP アプリケーション レベル ゲートウェイ(ALG)でのみ機能し、IPv6 rapid deployment(6rd)やデュアルスタック lite(DS-Lite)など、IPv4 インフラストラクチャ上で IPv6 サービスを提供するテクノロジには対応していません。ポートフォワーディングは、twice-napt-44
IPv4ネットワークと でのみサポートしていますdnat-44
。
ポートフォワーディングのメリット
インターネット上の公共のコンピューターなどのリモート コンピューターが、プライベート ネットワーク内に隠されている特定のコンピューターの非標準ポートに接続できるようにします。
静的宛先アドレス変換用のポート フォワーディングの設定
ポート転送で宛先アドレス変換を設定できます。ポート転送を使用すると、パケットの宛先アドレスとポートを変更して、ネットワーク アドレス変換 (NAT) ゲートウェイ内の正しいホストに到達できます。ポートフォワーディングは、MS-DPC、MS-100、MS-400、およびMS-500マルチサービスPICでサポートされています。Junos OS リリース 17.4R1 以降、MS-MPC および MS-MIC でもポート フォワーディングがサポートされています。
ポート転送で宛先アドレス変換を設定するには:
IPv4 の NAT を 2 回使用しても、同様の設定が可能です。 例:TWICE NAT によるポート フォワーディングの設定を参照してください。
ポートフォワーディングとステートフルファイアウォールは、一緒に構成できます。ステートフルファイアウォールは、ポートフォワーディングよりも優先されます。
宛先アドレス変換なしのポート フォワーディングの設定
宛先アドレスを変換せずにポート転送を設定できます。ポート フォワーディングを使用すると、ネットワーク アドレス変換 (NAT) ゲートウェイ内の正しいポートに到達するように宛先ポートを変更できます。ポートフォワーディングは、MS-DPC、MS-100、MS-400、およびMS-500マルチサービスPICでサポートされています。Junos OS リリース 17.4R1 以降、MS-MPC および MS-MIC でもポート フォワーディングがサポートされています。
IPv4ネットワークで宛先アドレス変換なしでポートフォワーディングを設定するには:
ポートフォワーディングとステートフルファイアウォールは、一緒に構成できます。ステートフルファイアウォールは、ポートフォワーディングよりも優先されます。
例:Twice NAT によるポート フォワーディングの設定
次の例では、 を変換タイプとして twice-napt-44
でポートフォワーディングを設定します。この例では、ステートフルファイアウォールと複数のポートマップも設定されています。
ポートフォワーディングは、MS-DPC、MS-100、MS-400、およびMS-500マルチサービスPICでサポートされています。Junos OS リリース 17.4R1 以降、MS-MPC および MS-MIC でもポート フォワーディングがサポートされています。
[edit services] user@host# show service-set in { syslog { host local { services any; } } stateful-firewall-rules r; nat-rules r; interface-service { service-interface sp-10/0/0.0; } } stateful-firewall { rule r { match-direction input; term t { from { destination-port { range low 20 high 5000; } } then { reject; } } } } nat { pool x { address 203.0.113.2/32; } rule r { match-direction input; term t { from { destination-address { 198.51.100.2/32; } destination-port { range low 10 high 20000; } } then { port-forwarding-mappings y; translated { destination-pool x; translation-type { twice-napt-44; } } } } } port-forwarding y { destined-port 45; translated-port 23; destined-port 55; translated-port 33; destined-port 65; translated-port 43; } } adaptive-services-pics { traceoptions { file sp-trace; flag all; } }
ステートフルファイアウォールは、ポートフォワーディングよりも優先されます。この例では、たとえば、20 から 5000 までのポートを宛先とするトラフィックは変換されません。
最大 32 のポート マップを設定できます。
変更履歴テーブル
機能のサポートは、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がプラットフォームでサポートされているかどうかを判断します。