宛先 NAT
宛先 NAT は、ルーターを通過するパケットの宛先アドレスを変更します。また、TCP/UDPヘッダーでポート変換を実行するオプションも用意されています。宛先 NAT は主に、外部アドレスまたはポート宛先を持つ受信パケットをネットワーク内の内部 IP アドレスまたはポートにリダイレクトするために使用されます。
宛先 NAT について
宛先 NAT は、ジュニパーネットワークスのデバイスに入るパケットの宛先 IP アドレスの変換です。宛先 NAT は、仮想ホスト(元の宛先 IP アドレスで識別)宛てのトラフィックを実際のホスト(変換された宛先 IP アドレスで識別)にリダイレクトするために使用されます。
宛先NATが実行されると、設定された宛先NATルールに従って宛先IPアドレスが変換され、セキュリティポリシーが適用されます。
宛先 NAT では、インターネットからプライベート ネットワークなど、受信ネットワーク接続に対してのみ接続を開始できます。宛先 NAT は、一般に次のアクションを実行するために使用されます。
単一のIPアドレスを別のアドレスに変換します(たとえば、インターネット上のデバイスがプライベートネットワーク上のホストに接続できるようにする場合など)。
連続したアドレスのブロックを同じサイズのアドレスの別のブロックに変換します(たとえば、サーバーのグループへのアクセスを許可する場合など)。
宛先IPアドレスとポートを別の宛先IPアドレスとポートに変換します(たとえば、同じIPアドレスで異なるポートを使用する複数のサービスへのアクセスを許可する場合など)。
以下のタイプの宛先 NAT がサポートされています。
元の宛先IPアドレスをユーザー定義プールのIPアドレスに変換します。このタイプの変換には、ポートアドレス変換(PAT)は含まれません。元の宛先IPアドレス範囲がユーザー定義アドレスプールのアドレス範囲より大きい場合、変換されていないパケットはすべて破棄されます。
元の宛先IPアドレス(およびオプションのポート番号)をユーザー定義プールから1つの特定のIPアドレス(およびポート番号)に変換します。
宛先 NAT アドレス プールの理解
NATプールは、変換に使用されるユーザー定義のIPアドレスのセットです。一方向への宛先IPアドレス変換と逆方向への送信元IPアドレス変換を含む1対1のマッピングがある静的なNATとは異なり、宛先NATでは元の宛先アドレスをアドレスプール内のIPアドレスに変換します。
宛先 NAT アドレス プールについては、以下を指定します。
宛先NATアドレスプールの名前
宛先アドレスまたはアドレス範囲
1つのルーティングインスタンス内で、送信元NAT、宛先NAT、静的NATのNATアドレスを重複させないでください。
ポートフォワーディングに使用される宛先ポート
プールが属するルーティングインスタンス—特定のルーティングインスタンスを指定しない宛先NATプールは、デフォルトでイングレスゾーンのルーティングインスタンスになります。
デフォルトのルーティングインスタンスに存在するようにNATプールを設定できます。デフォルトのルーティングインスタンスにNATプールが存在することを指定する設定オプションが利用可能です。その結果、NATプールに到達できるのは、デフォルトのルーティングインスタンスのゾーンからも、他のルーティングインスタンスのゾーンからもです。
宛先 NAT ルールの理解
宛先 NAT ルールは、2 層の一致条件を指定します。
トラフィック方向—
from interface、from zone、またはfrom routing-instanceを指定できます。パケット情報—送信元IPアドレス、宛先IPアドレスまたはサブネット、宛先ポート番号またはポート範囲、プロトコル、アプリケーションなどです。
ALGトラフィックの場合、 destination-port オプションまたは application オプションをマッチング条件として使用しないことをお勧めします。これらのオプションを使用すると、アプリケーションペイロードのポート値がIPアドレスのポート値と一致しない可能性があるため、変換に失敗することがあります。
複数の宛先 NAT ルールが一致条件で重複する場合、最も具体的なルールが選択されます。例えば、ルールAとBが同じ送信元IPアドレスと宛先IPアドレスを指定しているが、ルールAがゾーン1からのトラフィックを指定し、ルールBがインターフェイス ge-0/0/0からのトラフィックを指定する場合、ルールBを使用して宛先NATを実行します。インターフェイスの一致は、ルーティングインスタンスの一致よりも具体的なゾーン一致よりも具体的であると見なされます。
宛先NATルールに指定できるアクションは次のとおりです。
オフ—宛先 NAT を実行しません。
プール—指定されたユーザー定義のアドレスプールを使用して、宛先NATを実行します。
宛先 NAT ルールは、フローに対して処理される最初のパケットまたは ALG の高速パス内のトラフィックに適用されます。宛先 NAT ルールは、静的 NAT ルールの後、送信元 NAT ルールの前に処理されます。
宛先 NAT 設定の概要
宛先 NAT の主な設定タスクは以下のとおりです。
- ネットワークとセキュリティの要件に合わせた宛先 NAT アドレス プールを設定します。
- ネットワークとセキュリティの要件に合った宛先NATルールを設定します。
- イングレスインターフェイスの同じサブネット内のIPアドレスのNATプロキシARPエントリーを設定します。
例:単一アドレス変換用の宛先 NAT の設定
この例では、単一のパブリックアドレスとプライベートアドレスの宛先NATマッピングを設定する方法を説明します。
静的 NAT を使用して、ある宛先 IP アドレスから別の宛先 IP アドレスへのマッピングも実行できます。静的 NAT マッピングでは、ゲートウェイ デバイスのどちら側からでも接続を確立できますが、宛先 NAT では片側からのみ接続を確立できます。ただし、静的 NAT では、あるアドレスから別のアドレスへの変換、または同じサイズのアドレスのブロック間の変換のみが許可されます。
要件
この例では、以下のハードウェアおよびソフトウェアコンポーネントを使用しています。
SRXシリーズファイアウォール
サーバー
始める前に:
デバイス上のネットワークインターフェイスを設定します。 セキュリティデバイス向けインターフェイスユーザーガイドを参照してください。
セキュリティゾーンを作成し、インターフェイスを割り当てます。 「セキュリティゾーンについて」を参照してください。
概要
宛先 NAT は一般に、パブリックにアクセス可能な IP アドレスを持つプライベート ネットワークにあるサービスを配信するために使用されます。これにより、ユーザーはパブリックIPアドレスでプライベートサービスを利用できるようになります。宛先 NAT アドレス プールと宛先 NAT ルールの構成は、ネットワークを調整し、セキュリティ要件を改善するために使用されます。
この例では、まずプライベートアドレス空間にtrustセキュリティゾーンを設定し、次にパブリックアドレス空間にuntrustセキュリティゾーンを設定します。 図1では、untrustゾーンのデバイスが、パブリックアドレス203.0.113.200/32を介してtrustゾーンのサーバーにアクセスしています。宛先IPアドレスが203.0.113.200/32でuntrustゾーンからジュニパーネットワークスセキュリティデバイスに入るパケットの場合、宛先IPアドレスはプライベートアドレス192.168.1.200/32に変換されます。
トポロジー
表1 は、この例で設定されたパラメーターを示しています。
パラメータ |
説明 |
|---|---|
信頼ゾーン |
プライベートアドレス空間のセキュリティゾーン。 |
Untrustゾーン |
パブリックアドレス空間のセキュリティゾーン。 |
192.168.1.200/32 |
変換された宛先NAT IPアドレス。 |
192.168.1.0/24 |
プライベートゾーンのプライベートサブネット。 |
203.0.113.200/32 |
サーバーのパブリックアドレス。 |
サーバー |
プライベートアドレス空間のサーバーアドレス。 |
ge-0/0/0 と ge-1/0/0 |
トラフィック方向用の NAT インターフェイス。 |
この例では、以下の設定について説明します。
IPアドレス192.168.1.200/32を含む宛先NATプール
dst-nat-pool-1。宛先NATルールセットは、ge-0/0/0.0インターフェイスから受信したパケットを宛先IPアドレス203.0.113.200/32と一致させるルール
r1でrs1されます。一致するパケットの場合、宛先アドレスはdst-nat-pool-1プール内のアドレスに変換されます。インターフェイスge-0/0/0.0上のアドレス203.0.113.200/32のプロキシARP。これにより、ジュニパーネットワークスのセキュリティデバイスは、そのアドレスのインターフェイスで受信したARPリクエストに応答できます。
untrustゾーンからtrustゾーン内の変換された宛先IPアドレスへのトラフィックを許可するセキュリティポリシー。
設定
手順
CLIクイックコンフィグレーション
この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。
set security nat destination pool dst-nat-pool-1 address 192.168.1.200/32 set security nat destination rule-set rs1 from interface ge-0/0/0.0 set security nat destination rule-set rs1 rule r1 match destination-address 203.0.113.200/32 set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32 set security address-book global address server-1 192.168.1.200/32 set security policies from-zone untrust to-zone trust policy server-access match source-address any set security policies from-zone untrust to-zone trust policy server-access match destination-address server-1 set security policies from-zone untrust to-zone trust policy server-access match application any set security policies from-zone untrust to-zone trust policy server-access then permit
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLIユーザーガイド』の「構成モードでのCLIエディターの使用」を参照してください。
パブリックアドレスからプライベートアドレスへの宛先NATマッピングを設定するには:
宛先 NAT プールを作成します。
[edit security nat destination] user@host# set pool dst-nat-pool-1 address 192.168.1.200/32
宛先 NAT ルール セットを作成します。
[edit security nat destination] user@host# set rule-set rs1 from interface ge-0/0/0.0
パケットを一致させ、宛先アドレスをプール内のアドレスに変換するルールを設定します。
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.200/32 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1
プロキシARPを設定します。
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32
グローバルアドレス帳にアドレスを設定します。
[edit security address-book global] user@host# set address server-1 192.168.1.200/32
untrust ゾーンから trust ゾーン内のサーバーへのトラフィックを許可するセキュリティ ポリシーを設定します。
[edit security policies from-zone untrust to-zone trust] user@host# set policy server-access match source-address any user@host# set policy server-access match destination-address server-1 user@host# set policy server-access match application any user@host# set policy server-access then permit
結果
設定モードから、 show interfaces、 show security zones、および show bridge-domains コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。
[edit]
user@host# show security nat
destination {
pool dst-nat-pool-1 {
address 192.168.1.200/32;
}
rule-set rs1 {
from interface ge-0/0/0.0;
rule r1 {
match {
destination-address 203.0.113.200/32;
}
then {
destination-nat pool dst-nat-pool-1;
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.200/32;
}
}
}
[edit]
user@host# show security address-book
global {
address server-1 192.168.1.200/32;
}
user@host# show security policies
from-zone untrust to-zone trust {
policy server-access {
match {
source-address any;
destination-address server-1;
application any;
}
then {
permit;
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認します。
宛先 NAT プール使用状況の検証
目的
宛先NATプールからのIPアドレスを使用するトラフィックがあることを確認します。
アクション
動作モードから、 show security nat destination pool all コマンドを入力します。変換ヒットフィールドを表示して、プールからのIPアドレスを使用しているトラフィックを確認します。
user@host>show security nat destination pool all
Total destination-nat pools: 1
Pool name : dst-nat-pool-1
Pool id : 1
Total address : 1
Translation hits: 71
Address range Port
192.168.1.200 - 192.168.1.200 0
意味
show security nat destination pool allコマンドは、変換されたアドレスのプールを表示します。変換ヒットフィールドを表示して、プールからのIPアドレスを使用しているトラフィックを確認します。
宛先 NAT ルールの使用状況の確認
目的
宛先 NAT ルールに一致するトラフィックがあることを確認します。
アクション
動作モードから、 show security nat destination rule all コマンドを入力します。
user@host>show security nat destination rule all
Total destination-nat rules: 1
Total referenced IPv4/IPv6 ip-prefixes: 1/0
Destination NAT rule: r1 Rule-set: rs1
Rule-Id : 1
Rule position : 1
From interface : ge-0/0/0.0
Destination addresses : 203.0.113.200 - 203.0.113.200
Action : dst-nat-pool-1
Translation hits : 75
Successful sessions : 75
Failed sessions : 0
Number of sessions : 4
意味
show security nat destination rule all コマンドは、宛先NATルールを表示します。変換ヒットフィールドを表示して、宛先ルールに一致するトラフィックを確認します。
単一アドレス変換の宛先 NAT の検証
目的
単一アドレス変換の宛先 NAT の設定を検証します。
アクション
動作モードから、 show security nat destination summary コマンドを入力します。
user@host>show security nat destination summary
Total pools: 1
Pool name Address Range Routing Port Total
Instance Address
dst-nat-pool-1 192.168.1.200 - 192.168.1.200 0 1
Total rules: 1
Rule name Rule set From Action
r1 rs1 ge-0/0/0.0 dst-nat-pool-1
意味
show security nat destination summaryコマンドは、宛先NAT設定に関する情報を表示します。以下の情報を確認できます。
ルールセット
ルール
アドレス範囲
NATプール
ポートの詳細
トラフィックに対する NAT アプリケーションの検証
目的
指定したトラフィックに NAT が適用されていることを確認します。
アクション
動作モードから、 show security flow session コマンドを入力します。
user@host>show security flow session Session ID: 26415, Policy name: server-access/11, Timeout: 2, Valid In: 203.0.113.219/30 --> 203.0.113.200/54850;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/30;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Session ID: 26420, Policy name: server-access/11, Timeout: 2, Valid In: 203.0.113.219/31 --> 203.0.113.200/54850;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/31;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Session ID: 26425, Policy name: server-access/11, Timeout: 4, Valid In: 203.0.113.219/32 --> 203.0.113.200/54850;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/32;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Session ID: 26431, Policy name: server-access/11, Timeout: 4, Valid In: 203.0.113.219/33 --> 203.0.113.200/54850 ;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/33;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Total sessions: 9
意味
show security flow sessionコマンドは、デバイス上のアクティブなセッションと、各セッションに関連付けられたセキュリティポリシーを表示します。出力は、203.0.113.200のパブリックホスト宛てのデバイスに入るトラフィックが、プライベート宛先IPアドレス192.168.1.200に変換されるものを示しています。
Session ID—セッションを識別する番号。このIDを使用して、ポリシー名や入出力パケット数など、セッションに関する詳細情報を取得できます。
server-access—untrustゾーンからtrustゾーン内の変換された宛先IPアドレスへのトラフィックを許可したポリシー名。
In—着信フロー(送信元と宛先のIPアドレスとそれぞれの送信元と宛先のポート番号、セッションはICMP、このセッションの送信元インターフェイスはge-0/0/0.0)。
Out—リバースフロー(送信元と宛先のIPアドレスとそれぞれの送信元と宛先のポート番号、セッションはICMP、このセッションの宛先インターフェイスはge-0/0/1.0)。
例:IP アドレスとポート変換用の宛先 NAT の設定
この例では、ポート番号に応じて、パブリックアドレスからプライベートアドレスへの宛先 NAT マッピングを設定する方法を説明します。
要件
始める前に:
デバイス上のネットワークインターフェイスを設定します。 セキュリティデバイス向けインターフェイスユーザーガイドを参照してください。
セキュリティゾーンを作成し、インターフェイスを割り当てます。 「セキュリティゾーンについて」を参照してください。
概要
この例では、プライベートアドレス空間にtrustセキュリティゾーンを、パブリックアドレス空間にuntrustセキュリティゾーンを使用します。 図2では、untrustゾーンのデバイスが、ポート80または8000のパブリックアドレス203.0.113.200を介してtrustゾーン内のサーバーにアクセスしています。untrustゾーンからジュニパーネットワークスセキュリティデバイスに入るパケットは、次のようにサーバーのプライベートアドレスにマッピングされます。
宛先IPアドレス203.0.113.200およびポート80は、プライベートアドレス192.168.1.200およびポート80に変換されます。
宛先IPアドレス203.0.113.200およびポート8000は、プライベートアドレス192.168.1.220およびポート8000に変換されます。
この例では、以下の設定について説明します。
IP アドレス 192.168.1.200 ポート 80 を含む宛先NATプール
dst-nat-pool-1。IP アドレス 192.168.1.220 とポート 8000 を含むNATプール
dst-nat-pool-2宛先。宛先NATルールセットは、宛先IPアドレス203.0.113.200および宛先ポート80を持つuntrustゾーンから受信したパケットを一致させるルール
r1でrs1されます。一致するパケットの場合、宛先アドレスはdst-nat-pool-1プール内のアドレスに変換されます。宛先NATルールセットは、宛先IPアドレス203.0.113.200および宛先ポート8000を持つuntrustゾーンから受信したパケットを一致させるルール
r2でrs1されます。一致するパケットの場合、宛先IPアドレスとポートはdst-nat-pool-2プール内のアドレスとポートに変換されます。アドレス 203.0.113.200/32 のプロキシ ARP。これにより、ジュニパーネットワークスのセキュリティデバイスは、そのアドレスのインターフェイスで受信したARPリクエストに応答できます。
untrustゾーンからtrustゾーン内の変換された宛先IPアドレスへのトラフィックを許可するセキュリティポリシー。
設定
手順
CLIクイックコンフィグレーション
この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。
set security nat destination pool dst-nat-pool-1 address 192.168.1.200/32 set security nat destination pool dst-nat-pool-1 address port 80 set security nat destination pool dst-nat-pool-2 address 192.168.1.220/32 set security nat destination pool dst-nat-pool-2 address port 8000 set security nat destination rule-set rs1 from zone untrust set security nat destination rule-set rs1 rule r1 match destination-address 203.0.113.200/32 set security nat destination rule-set rs1 rule r1 match destination-port 80 set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1 set security nat destination rule-set rs1 rule r2 match destination-address 203.0.113.200/32 set security nat destination rule-set rs1 rule r2 match destination-port 8000 set security nat destination rule-set rs1 rule r2 then destination-nat pool dst-nat-pool-2 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32 set security address-book global address server-2 192.168.1.220/32 set security address-book global address server-1 192.168.1.200/32 set security policies from-zone untrust to-zone trust policy server-access match source-address any set security policies from-zone untrust to-zone trust policy server-access match destination-address server-1 set security policies from-zone untrust to-zone trust policy server-access match destination-address server-2 set security policies from-zone untrust to-zone trust policy server-access match application any set security policies from-zone untrust to-zone trust policy server-access then permit
ステップバイステップの手順
次の例では、設定階層のさまざまなレベル間を移動する必要があります。その方法の詳細については、 設定モードでの CLI エディターの使用を参照してください。
パブリックアドレスからプライベートアドレスへの宛先NATマッピングを設定するには:
宛先 NAT プールを作成します。
[edit security nat destination] user@host# set pool dst-nat-pool-1 address 192.168.1.200 port 80 user@host# set pool dst-nat-pool-2 address 192.168.1.220 port 8000
宛先 NAT ルール セットを作成します。
[edit security nat destination] user@host# set rule-set rs1 from zone untrust
パケットを一致させ、宛先アドレスをプール内のアドレスに変換するルールを設定します。
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.200 user@host# set rule-set rs1 rule r1 match destination-port 80 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1
パケットを一致させ、宛先アドレスをプール内のアドレスに変換するルールを設定します。
[edit security nat destination] user@host# set rule-set rs1 rule r2 match destination-address 203.0.113.200 user@host# set rule-set rs1 rule r2 match destination-port 8000 user@host# set rule-set rs1 rule r2 then destination-nat pool dst-nat-pool-2
プロキシARPを設定します。
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32
グローバルアドレス帳のアドレスを設定します。
[edit security address-book global] user@host# set address server-2 192.168.1.220/32 user@host# set address server-1 192.168.1.200/32
untrust ゾーンから trust ゾーン内のサーバーへのトラフィックを許可するセキュリティ ポリシーを設定します。
[edit security policies from-zone untrust to-zone trust] user@host# set policy server-access match source-address any destination-address [server-1 server-2] application any user@host# set policy server-access then permit
結果
設定モードから、 show security nat および show security policies コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host# show security nat
destination {
pool dst-nat-pool-1 {
address 192.168.1.200/32 port 80;
}
pool dst-nat-pool-2 {
address 192.168.1.220/32 port 8000;
}
rule-set rs1 {
from zone untrust;
rule r1 {
match {
destination-address 203.0.113.200/32;
destination-port 80;
}
then {
destination-nat pool dst-nat-pool-1;
}
}
rule r2 {
match {
destination-address 203.0.113.200/32;
destination-port 8000;
}
then {
destination-nat pool dst-nat-pool-2;
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.200/32;
}
}
}
user@host# show security policies
from-zone untrust to-zone trust {
policy server-access {
match {
source-address any;
destination-address [ server-1 server-2 ];
application any;
}
then {
permit;
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認するには、以下のタスクを実行します。
宛先 NAT プール使用状況の検証
目的
宛先NATプールからのIPアドレスを使用するトラフィックがあることを確認します。
アクション
動作モードから、 show security nat destination pool all コマンドを入力します。変換ヒットフィールドを表示して、プールからのIPアドレスを使用しているトラフィックを確認します。
宛先 NAT ルールの使用状況の確認
目的
宛先 NAT ルールに一致するトラフィックがあることを確認します。
アクション
動作モードから、 show security nat destination rule all コマンドを入力します。変換ヒットフィールドを表示して、ルールに一致するトラフィックを確認します。
例:サブネット変換用の宛先 NAT の設定
この例では、パブリックサブネットアドレスとプライベートサブネットアドレスの宛先NATマッピングを設定する方法を説明します。
静的 NAT を使用して、あるサブネットから別のサブネットへのアドレスのマッピングも実行できます。静的 NAT マッピングでは、ゲートウェイ デバイスのどちら側からでも接続を確立できますが、宛先 NAT では片側からのみ接続を確立できます。ただし、静的 NAT では、同じサイズのアドレスのブロック間の変換しか許可されません。
要件
始める前に:
デバイス上のネットワークインターフェイスを設定します。 セキュリティデバイス向けインターフェイスユーザーガイドを参照してください。
セキュリティゾーンを作成し、インターフェイスを割り当てます。 「セキュリティゾーンについて」を参照してください。
概要
この例では、プライベートアドレス空間にtrustセキュリティゾーンを、パブリックアドレス空間にuntrustセキュリティゾーンを使用します。 図3では、untrustゾーンのデバイスが、パブリックサブネットアドレス203.0.113.0/24を介してtrustゾーンのデバイスにアクセスしています。203.0.113.0/24サブネット内の宛先IPアドレスを持つuntrustゾーンからジュニパーネットワークスセキュリティデバイスに入るパケットの場合、宛先IPアドレスは192.168.1.0/24サブネット上のプライベートアドレスに変換されます。
この例では、以下の設定について説明します。
IP アドレス 192.168.1.0/24 を含む宛先NATプール
dst-nat-pool-1。宛先NATルールセットは、ge-0/0/0.0インターフェイスから受信したパケットと203.0.113.0/24サブネット上の宛先IPアドレスを一致させるルール
r1でrs1されます。一致するパケットの場合、宛先アドレスはdst-nat-pool-1プール内のアドレスに変換されます。インターフェイスge-0/0/0.0上のアドレス203.0.113.1/32〜203.0.113.62/32のプロキシARP。これらは、203.0.113.0/24サブネットから変換する必要があるホストのIPアドレスです。これにより、ジュニパーネットワークスのセキュリティデバイスは、それらのアドレスに対してインターフェイス上で受信したARPリクエストに応答できます。アドレス203.0.113.0/24はインターフェイス自体に割り当てられているため、このアドレスはプロキシARP設定には含まれません。203.0.113.1/32から203.0.113.62/32の範囲にないアドレスは、ネットワーク上に存在しないことが想定されず、変換されません。
untrustゾーンからtrustゾーン内の変換された宛先IPアドレスへのトラフィックを許可するセキュリティポリシー。
設定
手順
CLIクイックコンフィグレーション
この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。
set security nat destination pool dst-nat-pool-1 address 192.168.1.0/24 set security nat destination rule-set rs1 from interface ge-0/0/0.0 set security nat destination rule-set rs1 rule r1 match destination-address 203.0.113.0/24 set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.62/32 set security address-book global address internal-net 192.168.1.0/24 set security policies from-zone untrust to-zone trust policy internal-access match source-address any set security policies from-zone untrust to-zone trust policy internal-access match destination-address internal-net set security policies from-zone untrust to-zone trust policy internal-access match application any set security policies from-zone untrust to-zone trust policy internal-access then permit
ステップバイステップの手順
次の例では、設定階層のさまざまなレベル間を移動する必要があります。その方法の詳細については、 設定モードでの CLI エディターの使用を参照してください。
パブリックサブネットアドレスからプライベートサブネットアドレスへの宛先NATマッピングを設定するには:
宛先 NAT プールを作成します。
[edit security nat destination] user@host# set pool dst-nat-pool-1 address 192.168.1.0/24
宛先 NAT ルール セットを作成します。
[edit security nat destination] user@host# set rule-set rs1 from interface ge-0/0/0.0
パケットを一致させ、宛先アドレスをプール内のアドレスに変換するルールを設定します。
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.0/24 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1
プロキシARPを設定します。
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.62/32
グローバルアドレス帳にアドレスを設定します。
[edit security address-book global] user@host# set address internal-net 192.168.1.0/24
untrust ゾーンから trust ゾーン内のデバイスへのトラフィックを許可するセキュリティ ポリシーを設定します。
[edit security policies from-zone untrust to-zone trust] user@host# set policy internal-access match source-address any destination-address internal-net application any user@host# set policy internal-access then permit
結果
設定モードから、 show security nat および show security policies コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host# show security nat
destination {
pool dst-nat-pool-1 {
address 192.168.1.0/24;
}
rule-set rs1 {
from interface ge-0/0/0.0;
rule r1 {
match {
destination-address 203.0.113.0/24;
}
then {
destination-nat pool dst-nat-pool-1;
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.1/32 to 203.0.113.62/32;
}
}
}
user@host# show security policies
from-zone untrust to-zone trust {
policy internal-access {
match {
source-address any;
destination-address internal-net;
application any;
}
then {
permit;
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認するには、以下のタスクを実行します。
宛先 NAT プール使用状況の検証
目的
宛先NATプールからのIPアドレスを使用するトラフィックがあることを確認します。
アクション
動作モードから、 show security nat destination pool all コマンドを入力します。変換ヒットフィールドを表示して、プールからのIPアドレスを使用しているトラフィックを確認します。
宛先 NAT ルールの使用状況の確認
目的
宛先 NAT ルールに一致するトラフィックがあることを確認します。
アクション
動作モードから、 show security nat destination rule all コマンドを入力します。変換ヒットフィールドを表示して、ルールに一致するトラフィックを確認します。
宛先 NAT 情報の監視
目的
宛先ネットワークアドレス変換(NAT)概要表と、指定されたNAT宛先アドレスプール情報の詳細を表示します。
アクション
J-Webユーザーインターフェイスで 監視>NAT>宛先NAT を選択するか、以下のCLIコマンドを入力します。
show security nat destination summaryshow security nat destination pool pool-name
表2は 、宛先NAT表示の主要な出力フィールドをまとめたものです。
フィールド |
価値 |
アクション |
|---|---|---|
| ルール | ||
ルールセット名 |
ルールセットの名前。 |
リストから表示するすべてのルールセットまたは特定のルールセットを選択します。 |
トータルルール |
設定されたルールの数。 |
– |
ID |
ルールID番号。 |
– |
名前 |
ルールの名前 。 |
– |
ルールセット名 |
ルールセットの名前。 |
– |
差出人 |
パケットが流れるルーティングインスタンス/ゾーン/インターフェイスの名前。 |
– |
送信元アドレス範囲 |
送信元プール内の送信元IPアドレス範囲。 |
– |
宛先アドレス範囲 |
送信元プール内の宛先IPアドレス範囲。 |
– |
宛先ポート |
宛先プール内の宛先ポート。 |
– |
IPプロトコル |
IPプロトコル。 |
– |
アクション |
ルールに一致するパケットに対して実行されたアクション。 |
– |
アラームしきい値 |
使用率アラームのしきい値。 |
– |
セッション(成功/失敗/現在) |
成功、失敗、現在のセッション
|
– |
翻訳ヒット数 |
変換テーブル内の変換が宛先 NAT ルールに使用された回数。 |
– |
| プール | ||
プール名 |
プールの名前。 |
リストから表示するすべてのプールまたは特定のプールを選択します。 |
プール合計数 |
追加されたプールの合計数。 |
– |
ID |
プールのID。 |
– |
名前 |
宛先プールの名前。 |
– |
アドレス範囲 |
宛先プール内のIPアドレス範囲。 |
– |
ポート |
プール内の宛先ポート番号。 |
– |
ルーティングインスタンス |
ルーティングインスタンスの名前。 |
– |
アドレス合計数 |
IP アドレスの合計、IP アドレス セット、またはアドレス帳エントリー。 |
– |
翻訳ヒット数 |
変換テーブル内の変換が宛先 NAT に使用された回数。 |
– |
| トップ10の翻訳ヒット | ||
グラフ |
上位10件の変換ヒットのグラフを表示します。 |
– |