ポートフォワーディング

ポートフォワーディングの概要

外部のIPアドレスとポートをプライベートネットワーク内のIPアドレスとポートにマッピングできます。ポートフォワーディングと呼ばれるこのマッピングは、MS-DPC、MS-100、MS-400、MS-500マルチサービスPICでサポートされています。Junos OSリリース17.4R1以降、ポートフォワーディングはMS-MPCとMS-MICでもサポートされています。

ポートフォワーディングを使用すると、パケットの宛先アドレスとポートを変更して、ネットワークアドレス変換(NAT)ゲートウェイ内の正しいホストに到達できます。変換により、送信元ホストからパケットを受信したポート番号に基づいて、マスカレードされた(通常はプライベート)ネットワーク内のホストへの到達が容易になります。このタイプの宛先の例は、プライベートネットワーク内のパブリックHTTPサーバーのホストです。宛先アドレスを変換せずにポートフォワーディングを設定することもできます。ポートフォワーディングは、エンドポイント独立マッピング(EIM)、エンドポイント独立フィリング(EIF)、アドレスプーリングペアリング(APP)をサポートします。

ポートフォワーディングは、FTPアプリケーションレベルゲートウェイ(ALG)でのみ動作し、IPv6ラピッドデプロイメント(6rd)やデュアルスタックライト(DS-Lite)など、IPv4インフラストラクチャ上でIPv6サービスを提供する技術はサポートされていません。ポートフォワーディングは、IPv4ネットワーク上の dnat-44 と twice-napt-44 のみをサポートします。

ポートフォワーディングのメリット

インターネット上のパブリックマシンなどのリモートコンピュータが、プライベートネットワーク内に隠れている特定のコンピュータの非標準ポートに接続できるようにします。

静的宛先アドレス変換用のポートフォワーディングの設定

ポートフォワーディングで宛先アドレス変換を設定できます。ポートフォワーディングを使用すると、パケットの宛先アドレスとポートを変更して、ネットワークアドレス変換(NAT)ゲートウェイ内の正しいホストに到達できます。ポートフォワーディングは、MS-DPC、MS-100、MS-400、MS-500マルチサービスPICでサポートされています。Junos OSリリース17.4R1以降、ポートフォワーディングはMS-MPCとMS-MICでもサポートされています。

ポートフォワーディングで宛先アドレス変換を設定するには:

設定モードで、 [edit services nat] 階層レベルに移動します。
アドレスでNATプールを設定します。
次の例では、プール名として dest-pool 、アドレスとして 192.0.2.2 を使用しています。

ルール、一致方向、条件、宛先アドレスを設定します。

次の例では、ルールの名前は rule-dnat44、一致方向は input、用語の名前は t1、アドレスは 198.51.100.20です。

宛先ポート範囲を設定します。

次の例では、上限ポート範囲は 50 、下限ポート範囲は 20です。

[edit services nat rule rule-name term term-name]階層レベルに移動します。

宛先プールを設定します。

次の例では、宛先プール名は dest-poolです。

ポートフォワーディングのマッピング名を指定し、変換タイプを設定します。NATルール期間内では1つのマッピングのみを設定できます。

次の例では、ポートフォワーディングマッピング名は map1で、変換タイプは dnat-44です。

[edit services nat port-forwarding map-name]階層レベルに移動します。
ポートフォワーディングのマッピングを設定します。
次の例では、変換する必要がある宛先ポート番号は 23 で、トラフィックがマッピングされるポートは 45です。
注:
- ポートフォワーディングでは、複数のポートマッピングがサポートされています。ポートフォワーディング用に設定できるポートマップは最大32個です。
- 宛先ポートは、NATに設定されたポート範囲と重複してはなりません。
ポートマッピングを実行するサービスセットにNATルールを適用します。

[edit services nat]階層レベルでshowコマンドを使用して、設定を確認します。

注:

IPv4 の 2 倍 NAT でも同様の設定が可能です。例:Configuring Port Forwarding with Twice NATを参照してください。
ポートフォワーディングとステートフルファイアウォールを一緒に設定できます。ステートフルファイアウォールは、ポートフォワーディングよりも優先されます。

宛先アドレス変換なしのポートフォワーディングの設定

宛先アドレスを変換せずにポートフォワーディングを設定できます。ポートフォワーディングでは、ネットワークアドレス変換(NAT)ゲートウェイ内の正しいポートに到達するように宛先ポートを変更することができます。ポートフォワーディングは、MS-DPC、MS-100、MS-400、MS-500マルチサービスPICでサポートされています。Junos OSリリース17.4R1以降、ポートフォワーディングはMS-MPCとMS-MICでもサポートされています。

IPv4ネットワークで宛先アドレス変換なしでポートフォワーディングを設定するには:

設定モードで、 [edit services nat] 階層レベルに移動します。
ルール、一致方向、条件名、およびルールが適用される前にトラフィックが一致する必要がある条件を設定します。
次の例では、ルールの名前は rule-port-forwarding、一致方向は input、用語の名前は t1、一致する必要がある宛先アドレスは 198.51.100.20 です。
[edit services nat rule rule-name term term-name]階層レベルに移動します。

このルールにはアドレス変換が含まれていないことを指定します。

ポートフォワーディング用のマッピングの名前を指定します。NATルール期間内では1つのマッピングのみを設定できます。
次の例では、ポートフォワーディングマッピング名は map1です。
[edit services nat port-forwarding map-name]階層レベルに移動します。
ポートフォワーディングのマッピングを設定します。
次の例では、変換する必要がある宛先ポート番号は 23 で、トラフィックがマッピングされるポートは 45です。
注:
- ポートフォワーディングでは、複数のポートマッピングがサポートされています。ポートフォワーディング用に設定できるポートマップは最大32個です。
- 宛先ポートは、NAPT用に設定されたポート範囲と重ならないようにしてください。
ポートマッピングを実行するサービスセットにNATルールを適用します。
注:
MS-MPCおよびMS-MICでは、ポートフォワーディングNATルールをAMSインターフェイスに適用することはできません。

[edit services]階層レベルでshowコマンドを使用して、設定を確認します。

注:

ポートフォワーディングとステートフルファイアウォールを一緒に設定できます。ステートフルファイアウォールは、ポートフォワーディングよりも優先されます。

例:Twice NAT によるポート転送の設定

次の例では、変換タイプとして twice-napt-44 を使用してポート転送を設定します。この例では、ステートフルファイアウォールと複数のポートマップも設定されています。

ポートフォワーディングは、MS-DPC、MS-100、MS-400、MS-500マルチサービスPICでサポートされています。Junos OSリリース17.4R1以降、ポートフォワーディングはMS-MPCとMS-MICでもサポートされています。

注:

ステートフルファイアウォールは、ポートフォワーディングよりも優先されます。たとえば、この例では、20〜5000のポート宛てのトラフィックは変換されません。
最大32個のポートマップを設定できます。

変更履歴テーブル

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。機能エクスプローラーを使用して、機能がお使いのプラットフォームでサポートされているかどうかを確認します。

リリース

説明

17.4R1

Junos OSリリース17.4R1以降、ポートフォワーディングはMS-MPCとMS-MICでもサポートされています。

17.4R1

Junos OSリリース17.4R1以降、ポートフォワーディングはMS-MPCとMS-MICでもサポートされています。

17.4R1

Junos OSリリース17.4R1以降、ポートフォワーディングはMS-MPCとMS-MICでもサポートされています。

17.4R1

Junos OSリリース17.4R1以降、ポートフォワーディングはMS-MPCとMS-MICでもサポートされています。