ディスティネーション NAT
宛先 NAT は、ルーターを通過するパケットの宛先アドレスを変更します。また、TCP/UDPヘッダーでポート変換を実行するオプションも提供します。宛先NATは、主に外部アドレスまたはポート宛先を持つ着信パケットをネットワーク内の内部IPアドレスまたはポートにリダイレクトするために使用されます。
宛先 NAT について
宛先 NAT とは、ジュニパーネットワークスのデバイスに入るパケットの宛先 IP アドレスを変換したものです。宛先NATは、仮想ホスト(元のIP アドレスで識別)を宛先とするトラフィックを実際のホスト(変換後のIP アドレスで識別)にリダイレクトするために使用されます。
宛先NATが実行されると、設定された宛先NATルールに従ってIP アドレスが変換され、セキュリティポリシーが適用されます。
宛先 NAT を使用すると、たとえば、インターネットからプライベート ネットワークへの接続など、受信ネットワーク接続に対してのみ接続を開始できます。宛先 NAT は、通常、次のアクションを実行するために使用されます。
ある IP アドレスを別のアドレスに変換する(例えば、インターネット上のデバイスがプライベートネットワーク上のホストに接続できるようにするなど)。
連続したアドレスのブロックを、同じサイズのアドレスの別のブロックに変換する(例えば、サーバーのグループへのアクセスを許可するため)。
IP アドレスとポートを別のIP アドレスとポートに変換する(たとえば、同じ IP アドレスでポートが異なる複数のサービスへのアクセスを許可するなど)。
次のタイプの宛先 NAT がサポートされています。
元のIP アドレスからユーザー定義プールの IP アドレスへの変換。このタイプの変換には、ポートアドレス変換(PAT)は含まれません。元のIP アドレス範囲がユーザー定義のアドレス プールのアドレス範囲よりも大きい場合、宛先アドレスが変換されたパケットまたは未変換のはすべてドロップされます。
元のIP アドレス(およびオプションのポート番号)を、ユーザー定義プールの 1 つの特定の IP アドレス(およびポート番号)に変換します。
宛先 NAT アドレス プールについて
NAT プールは、変換に使用されるユーザー定義の IP アドレスのセットです。一方向のIP アドレス変換と逆方向の送信元IPアドレス変換が含まれる1対1のマッピングがある静的NATとは異なり、宛先NATでは、元の宛先アドレスをアドレスプール内のIPアドレスに変換します。
宛先 NAT アドレスプールの場合、以下を指定します。
宛先 NAT アドレス プールの名前
宛先アドレスまたはアドレス範囲
1 つのルーティング インスタンス内で送信元 NAT、宛先 NAT、静的 NAT の NAT アドレスを重複させないでください。
ポート転送に使用される宛先ポート
プールが属するルーティングインスタンス—特定のルーティング インスタンスを指定しない宛先NAT プールは、イングレスゾーンのルーティング インスタンスにデフォルト設定されます。
NAT プールがデフォルトのルーティング インスタンスに存在するように設定できます。デフォルトのルーティング インスタンスに NAT プールが存在することを指定する構成オプションを使用できます。その結果、NAT プールは、デフォルトのルーティング インスタンス内のゾーンや他のルーティング インスタンス内のゾーンから到達可能になります。
宛先 NAT ルールについて
宛先 NAT ルールは、2 層の照合条件を指定します。
トラフィック方向—
from interface、from zone、またはfrom routing-instanceを指定できます。パケット情報:送信元 IP アドレス、IP アドレスまたはサブネット、宛先ポート番号またはポート範囲、プロトコル、またはアプリケーションを使用できます。
ALG トラフィックの場合、オプション destination-port または application オプションを一致条件として使用しないことをお勧めします。これらのオプションを使用すると、アプリケーション ペイロードのポート値が IP アドレスのポート値と一致しない可能性があるため、変換が失敗する可能性があります。
一致条件で複数の宛先NATルールが重複する場合は、最も具体的なルールが選択されます。たとえば、ルール A と B で同じ送信元 IP アドレスと宛先 IP アドレスが指定されているが、ルール A でゾーン 1 からのトラフィックが指定され、ルール B でインターフェイス ge-0/0/0 からのトラフィックが指定されている場合、ルール B を使用して宛先 NAT が実行されます。インターフェイスの一致は、ゾーンの一致よりも特定的であると見なされ、ゾーンの一致はルーティング インスタンスの一致よりもより特定的です。
宛先 NAT ルールに指定できるアクションは次のとおりです。
消灯 - 宛先 NAT を実行しません。
pool—指定されたユーザー定義アドレスプールを使用して、宛先NATを実行します。
宛先 NAT ルールは、フローまたは ALG のファスト パスで処理される最初のパケットのトラフィックに適用されます。 宛先 NAT ルールは、静的 NAT ルールの後、送信元 NAT ルールの前に処理されます。
宛先 NAT 構成の概要
宛先 NAT の主な構成タスクは次のとおりです。
- ネットワークおよびセキュリティ要件に合わせて、宛先 NAT アドレスプールを構成します。
- ネットワークおよびセキュリティ要件に合わせて宛先NATルールを構成します。
- イングレス インターフェイスの同じサブネット内の IP アドレスの NAT プロキシ ARP エントリを設定します。
例:単一アドレス変換用の宛先 NAT の設定
この例では、単一のパブリックアドレスからプライベートアドレスへの宛先NATマッピングを設定する方法を説明します。
あるIP アドレスから別のへのマッピングは、静的 NAT を使用して行うこともできます。静的 NAT マッピングでは、ゲートウェイ デバイスのどちら側からでも接続を確立できますが、宛先 NAT では片側からしか接続を確立できません。ただし、静的 NAT では、あるアドレスから別のアドレスへの変換、または同じサイズのアドレス ブロック間の変換のみが許可されます。
必要条件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
-
SRXシリーズファイアウォール
-
サーバー
開始する前に、以下を実行します。
-
デバイス上のネットワークインターフェイスを設定します。 セキュリティ デバイス向けインターフェイス ユーザー ガイドを参照してください。
-
セキュリティ ゾーンを作成し、インターフェイスを割り当てます。 セキュリティゾーンとはを参照してください。
概要
一般的に、宛先NATは、パブリックにアクセス可能なIPアドレスを持つプライベートネットワークにあるサービスを配信するために使用されます。これにより、ユーザーはパブリックIPアドレスでプライベートサービスを使用できます。宛先 NAT アドレス プールと宛先 NAT ルールの構成は、ネットワークを調整し、セキュリティ要件を改善するために使用されます。
この例では、まずプライベート アドレス空間の trust セキュリティ ゾーンを構成し、次にパブリック アドレス空間の untrust セキュリティ ゾーンを構成します。 図 1 では、untrust ゾーンのデバイスが、パブリック アドレス 203.0.113.200/32 を介して trust ゾーンのサーバーにアクセスしています。IP アドレスが 203.0.113.200/32 の untrust ゾーンから Juniper Networks セキュリティ デバイスに入るパケットの場合、宛先 IP アドレスはプライベート アドレス 192.168.1.200/32 に変換されます。
位相幾何学
表 1 は、この例で設定されたパラメーターを示しています。
| パラメーター |
形容 |
|---|---|
| トラストゾーン |
プライベート・アドレス・スペースのセキュリティー・ゾーン。 |
| トラストゾーン |
パブリック アドレス空間のセキュリティ ゾーン。 |
| 192.168.1.200/32 |
変換された宛先 NAT IP アドレス。 |
| 192.168.1.0/24 |
プライベート・ゾーン内のプライベート・サブネット。 |
| 203.0.113.200/32 |
サーバーのパブリック アドレス。 |
| サーバー |
プライベート・アドレス・スペースのサーバー・アドレス。 |
| ge-0/0/0 と ge-1/0/0 |
トラフィック方向の NAT インターフェイス。 |
この例では、次の設定について説明します。
-
IP アドレス 192.168.1.200/32 を含む宛先NAT プール
dst-nat-pool-1。 -
宛先NAT ルール、ge-0/0/0.0インターフェイスから受信したパケットをIP アドレス203.0.113.200/32と照合するようにルール
r1でrs1に設定されます。一致するパケットの場合、宛先アドレスはdst-nat-pool-1プール内のアドレスに変換されます。 -
インターフェイス ge-0/0/0.0 上のアドレス 203.0.113.200/32 のプロキシ ARP。これにより、ジュニパーネットワークス セキュリティ デバイスは、インターフェイスで受信したそのアドレスの ARP 要求に応答できます。
-
untrust ゾーンから trust ゾーン内の変換されたIP アドレスへのトラフィックを許可するセキュリティ ポリシー。
構成
プロシージャ
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。
set security nat destination pool dst-nat-pool-1 address 192.168.1.200/32
set security nat destination rule-set rs1 from interface ge-0/0/0.0
set security nat destination rule-set rs1 rule r1 match destination-address 203.0.113.200/32
set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1
set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32
set security address-book global address server-1 192.168.1.200/32
set security policies from-zone untrust to-zone trust policy server-access match source-address any
set security policies from-zone untrust to-zone trust policy server-access match destination-address server-1
set security policies from-zone untrust to-zone trust policy server-access match application any
set security policies from-zone untrust to-zone trust policy server-access then permit
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの 設定モードにおけるCLIエディターの使用を参照してください。
パブリックアドレスからプライベートアドレスへの宛先NATマッピングを設定するには、以下を行います。
-
宛先 NAT プールを作成します。
[edit security nat destination] user@host# set pool dst-nat-pool-1 address 192.168.1.200/32 -
宛先 NAT ルール セットを作成します。
[edit security nat destination] user@host# set rule-set rs1 from interface ge-0/0/0.0 -
パケットを照合し、宛先アドレスをプール内のアドレスに変換するルールを設定します。
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.200/32 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1 -
プロキシ ARP を設定します。
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32 -
グローバルアドレス帳にアドレスを設定します。
[edit security address-book global] user@host# set address server-1 192.168.1.200/32 -
untrust ゾーンから trust ゾーンのサーバーへのトラフィックを許可するセキュリティ ポリシーを設定します。
[edit security policies from-zone untrust to-zone trust] user@host# set policy server-access match source-address any user@host# set policy server-access match destination-address server-1 user@host# set policy server-access match application any user@host# set policy server-access then permit
業績
設定モードから、 show interfaces、 show security zones、および show bridge-domains コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
[edit]
user@host# show security nat
destination {
pool dst-nat-pool-1 {
address 192.168.1.200/32;
}
rule-set rs1 {
from interface ge-0/0/0.0;
rule r1 {
match {
destination-address 203.0.113.200/32;
}
then {
destination-nat pool dst-nat-pool-1;
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.200/32;
}
}
}
[edit]
user@host# show security address-book
global {
address server-1 192.168.1.200/32;
}
user@host# show security policies
from-zone untrust to-zone trust {
policy server-access {
match {
source-address any;
destination-address server-1;
application any;
}
then {
permit;
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認します。
宛先 NAT プールの使用状況の確認
目的
宛先NAT プールからの IP アドレスを使用するトラフィックが存在することを確認します。
アクション
動作モードから、 show security nat destination pool all コマンドを入力します。[変換ヒット(Translation hits)] フィールドを表示して、プールの IP アドレスを使用してトラフィックを確認します。
user@host>show security nat destination pool all
Total destination-nat pools: 1
Pool name : dst-nat-pool-1
Pool id : 1
Total address : 1
Translation hits: 71
Address range Port
192.168.1.200 - 192.168.1.200 0
意味
show security nat destination pool all コマンドは、変換されたアドレスのプールを表示します。[変換ヒット(Translation hits)] フィールドを表示して、プールの IP アドレスを使用してトラフィックを確認します。
宛先 NAT ルールの使用状況の確認
目的
宛先 NAT ルールに一致するトラフィックがあることを確認します。
アクション
動作モードから、 show security nat destination rule all コマンドを入力します。
user@host>show security nat destination rule all
Total destination-nat rules: 1
Total referenced IPv4/IPv6 ip-prefixes: 1/0
Destination NAT rule: r1 Rule-set: rs1
Rule-Id : 1
Rule position : 1
From interface : ge-0/0/0.0
Destination addresses : 203.0.113.200 - 203.0.113.200
Action : dst-nat-pool-1
Translation hits : 75
Successful sessions : 75
Failed sessions : 0
Number of sessions : 4
意味
show security nat destination rule all コマンドは、宛先NAT ルールを表示します。[変換ヒット(Translation hits)] フィールドを表示して、宛先ルールに一致するトラフィックを確認します。
単一アドレス変換の宛先 NAT の検証
目的
単一アドレス変換の宛先 NAT の設定を検証します。
アクション
動作モードから、 show security nat destination summary コマンドを入力します。
user@host>show security nat destination summary
Total pools: 1
Pool name Address Range Routing Port Total
Instance Address
dst-nat-pool-1 192.168.1.200 - 192.168.1.200 0 1
Total rules: 1
Rule name Rule set From Action
r1 rs1 ge-0/0/0.0 dst-nat-pool-1
意味
show security nat destination summaryコマンドは、宛先 NAT 設定に関する情報を表示します。次の情報を確認できます。
-
ルール・セット
-
準則
-
アドレス範囲
-
NAT プール
-
ポートの詳細
トラフィックへのNATアプリケーションの検証
目的
指定したトラフィックにNATが適用されていることを確認します。
アクション
動作モードから、 show security flow session コマンドを入力します。
user@host>show security flow session Session ID: 26415, Policy name: server-access/11, Timeout: 2, Valid In: 203.0.113.219/30 --> 203.0.113.200/54850;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/30;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Session ID: 26420, Policy name: server-access/11, Timeout: 2, Valid In: 203.0.113.219/31 --> 203.0.113.200/54850;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/31;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Session ID: 26425, Policy name: server-access/11, Timeout: 4, Valid In: 203.0.113.219/32 --> 203.0.113.200/54850;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/32;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Session ID: 26431, Policy name: server-access/11, Timeout: 4, Valid In: 203.0.113.219/33 --> 203.0.113.200/54850 ;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/33;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Total sessions: 9
意味
show security flow sessionコマンドは、デバイス上のアクティブなセッションと、各セッションに関連付けられたセキュリティポリシーを表示します。出力は、プライベートIP アドレス192.168.1.200に変換される203.0.113.200のパブリックホスト宛てのデバイスに入るトラフィックを示しています。
-
Session ID—セッションを識別する番号。このIDを使用して、ポリシー名や出入りするパケット数など、セッションに関する詳細情報を取得します。
-
server-access—untrustゾーンからtrustゾーン内の変換されたIP アドレスへのトラフィックを許可したポリシー名。
-
In—受信フロー(送信元と宛先のIPアドレスとそれぞれの送信元と宛先のポート番号、セッションはICMP、このセッションの送信元インターフェイスはge-0/0/0.0)。
-
Out—リバースフロー(送信元と宛先のIPアドレスとそれぞれの送信元と宛先のポート番号、セッションはICMP、このセッションの宛先インターフェイスはge-0/0/1.0)。
例:IP アドレスおよびポート変換のための宛先 NAT の設定
この例では、ポート番号に応じて、パブリックアドレスからプライベートアドレスへの宛先NATマッピングを設定する方法を説明します。
必要条件
開始する前に、以下を実行します。
-
デバイス上のネットワークインターフェイスを設定します。 セキュリティデバイス向けインターフェイスユーザーガイドを参照してください。
-
セキュリティ ゾーンを作成し、インターフェイスを割り当てます。 セキュリティゾーンとはを参照してください。
概要
この例では、プライベート アドレス空間に trust セキュリティ ゾーンを使用し、パブリック アドレス空間に untrust セキュリティ ゾーンを使用します。 図 2 では、untrust ゾーンのデバイスは、ポート 80 または 8000 のパブリック アドレス 203.0.113.200 を介して trust ゾーンのサーバーにアクセスします。untrust ゾーンからジュニパーネットワークス セキュリティ デバイスに入るパケットは、次のようにサーバーのプライベート アドレスにマッピングされます。
-
IP アドレス 203.0.113.200 とポート 80 は、プライベート アドレス 192.168.1.200 とポート 80 に変換されます。
-
IP アドレス 203.0.113.200 とポート 8000 は、プライベート アドレス 192.168.1.220 とポート 8000 に変換されます。
この例では、次の設定について説明します。
-
IP アドレス 192.168.1.200 ポート 80 を含む宛先NAT プール
dst-nat-pool-1。 -
IPアドレス192.168.1.220とポート8000を含む宛先NAT プール
dst-nat-pool-2。 -
宛先NAT ルール、untrust ゾーンから受信したパケットを、IP アドレス 203.0.113.200 および宛先ポート 80 と照合するようにルール
r1でrs1に設定されます。一致するパケットの場合、宛先アドレスはdst-nat-pool-1プール内のアドレスに変換されます。 -
宛先NAT ルール、untrust ゾーンから受信したパケットをIP アドレス 203.0.113.200 および宛先ポート 8000 と照合するようにルール
r2でrs1設定されます。一致するパケットの場合、IP アドレスとポートがdst-nat-pool-2プール内のアドレスとポートに変換されます。 -
アドレス 203.0.113.200/32 のプロキシ ARP。これにより、ジュニパーネットワークス セキュリティ デバイスは、インターフェイスで受信したそのアドレスの ARP 要求に応答できます。
-
untrust ゾーンから trust ゾーン内の変換された宛先 IP アドレスへのトラフィックを許可するセキュリティ ポリシー。
構成
プロシージャ
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。
set security nat destination pool dst-nat-pool-1 address 192.168.1.200/32
set security nat destination pool dst-nat-pool-1 address port 80
set security nat destination pool dst-nat-pool-2 address 192.168.1.220/32
set security nat destination pool dst-nat-pool-2 address port 8000
set security nat destination rule-set rs1 from zone untrust
set security nat destination rule-set rs1 rule r1 match destination-address 203.0.113.200/32
set security nat destination rule-set rs1 rule r1 match destination-port 80
set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1
set security nat destination rule-set rs1 rule r2 match destination-address 203.0.113.200/32
set security nat destination rule-set rs1 rule r2 match destination-port 8000
set security nat destination rule-set rs1 rule r2 then destination-nat pool dst-nat-pool-2
set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32
set security address-book global address server-2 192.168.1.220/32
set security address-book global address server-1 192.168.1.200/32
set security policies from-zone untrust to-zone trust policy server-access match source-address any
set security policies from-zone untrust to-zone trust policy server-access match destination-address server-1
set security policies from-zone untrust to-zone trust policy server-access match destination-address server-2
set security policies from-zone untrust to-zone trust policy server-access match application any
set security policies from-zone untrust to-zone trust policy server-access then permit
手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
パブリックアドレスからプライベートアドレスへの宛先NATマッピングを設定するには、以下を行います。
-
宛先 NAT プールを作成します。
[edit security nat destination] user@host# set pool dst-nat-pool-1 address 192.168.1.200 port 80 user@host# set pool dst-nat-pool-2 address 192.168.1.220 port 8000 -
宛先 NAT ルール セットを作成します。
[edit security nat destination] user@host# set rule-set rs1 from zone untrust -
パケットを照合し、宛先アドレスをプール内のアドレスに変換するルールを設定します。
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.200 user@host# set rule-set rs1 rule r1 match destination-port 80 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1 -
パケットを照合し、宛先アドレスをプール内のアドレスに変換するルールを設定します。
[edit security nat destination] user@host# set rule-set rs1 rule r2 match destination-address 203.0.113.200 user@host# set rule-set rs1 rule r2 match destination-port 8000 user@host# set rule-set rs1 rule r2 then destination-nat pool dst-nat-pool-2 -
プロキシ ARP を設定します。
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32 -
グローバルアドレス帳でアドレスを設定します。
[edit security address-book global] user@host# set address server-2 192.168.1.220/32 user@host# set address server-1 192.168.1.200/32 -
untrust ゾーンから trust ゾーン内のサーバーへのトラフィックを許可するセキュリティ ポリシーを設定します。
[edit security policies from-zone untrust to-zone trust] user@host# set policy server-access match source-address any destination-address [server-1 server-2] application any user@host# set policy server-access then permit
業績
設定モードから、 show security nat コマンドと show security policies コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security nat
destination {
pool dst-nat-pool-1 {
address 192.168.1.200/32 port 80;
}
pool dst-nat-pool-2 {
address 192.168.1.220/32 port 8000;
}
rule-set rs1 {
from zone untrust;
rule r1 {
match {
destination-address 203.0.113.200/32;
destination-port 80;
}
then {
destination-nat pool dst-nat-pool-1;
}
}
rule r2 {
match {
destination-address 203.0.113.200/32;
destination-port 8000;
}
then {
destination-nat pool dst-nat-pool-2;
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.200/32;
}
}
}
user@host# show security policies
from-zone untrust to-zone trust {
policy server-access {
match {
source-address any;
destination-address [ server-1 server-2 ];
application any;
}
then {
permit;
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
宛先 NAT プールの使用状況の確認
目的
宛先NAT プールからの IP アドレスを使用するトラフィックが存在することを確認します。
アクション
動作モードから、 show security nat destination pool all コマンドを入力します。[変換ヒット(Translation hits)] フィールドを表示して、プールの IP アドレスを使用してトラフィックを確認します。
宛先 NAT ルールの使用状況の確認
目的
宛先 NAT ルールに一致するトラフィックがあることを確認します。
アクション
動作モードから show security nat destination rule all コマンドを入力します。[翻訳ヒット(Translation hits)] フィールドを表示して、ルールに一致するトラフィックを確認します。
例:サブネット変換のための宛先 NAT の設定
この例では、パブリックサブネットアドレスからプライベートサブネットアドレスへの宛先NATマッピングを設定する方法を説明します。
あるサブネットから別のサブネットへのアドレスのマッピングも、静的 NAT で実行できます。静的 NAT マッピングでは、ゲートウェイ デバイスのどちら側からでも接続を確立できますが、宛先 NAT では片側からのみ接続を確立できます。ただし、静的NATでは、同じサイズのアドレスのブロック間でのみ変換が可能です。
必要条件
開始する前に、以下を実行します。
-
デバイス上のネットワークインターフェイスを設定します。 セキュリティデバイス向けインターフェイスユーザーガイドを参照してください。
-
セキュリティ ゾーンを作成し、インターフェイスを割り当てます。 セキュリティゾーンとはを参照してください。
概要
この例では、プライベート アドレス空間に trust セキュリティ ゾーンを使用し、パブリック アドレス空間に untrust セキュリティ ゾーンを使用します。 図 3 では、untrust ゾーンのデバイスが、パブリックサブネットアドレス 203.0.113.0/24 を使用して trust ゾーンのデバイスにアクセスしています。203.0.113.0/24サブネットのIP アドレスを持つuntrustゾーンからジュニパーネットワークスセキュリティデバイスに入るパケットの場合、IP アドレスは192.168.1.0/24サブネット上のプライベートアドレスに変換されます。
この例では、次の設定について説明します。
-
IP アドレス 192.168.1.0/24 を含む宛先NAT プール
dst-nat-pool-1。 -
宛先NAT ルール、ge-0/0/0.0インターフェイスから受信したパケットを203.0.113.0/24サブネット上のIP アドレスと照合するルール
r1でrs1に設定されます。一致するパケットの場合、宛先アドレスはdst-nat-pool-1プール内のアドレスに変換されます。 -
インターフェイス ge-0/0/0.0 上のアドレス 203.0.113.1/32 から 203.0.113.62/32 のプロキシ ARP。これらは、203.0.113.0/24サブネットから変換する必要があるホストのIPアドレスです。これにより、ジュニパーネットワークス セキュリティ デバイスは、インターフェイスで受信したこれらのアドレスの ARP 要求に応答できます。アドレス 203.0.113.0/24 はインターフェイス自体に割り当てられるため、このアドレスはプロキシ ARP 設定に含まれません。203.0.113.1/32〜203.0.113.62/32の範囲にないアドレスは、ネットワーク上に存在するとは想定されておらず、変換されません。
-
untrust ゾーンから trust ゾーン内の変換された宛先 IP アドレスへのトラフィックを許可するセキュリティ ポリシー。
構成
プロシージャ
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。
set security nat destination pool dst-nat-pool-1 address 192.168.1.0/24
set security nat destination rule-set rs1 from interface ge-0/0/0.0
set security nat destination rule-set rs1 rule r1 match destination-address 203.0.113.0/24
set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1
set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.62/32
set security address-book global address internal-net 192.168.1.0/24
set security policies from-zone untrust to-zone trust policy internal-access match source-address any
set security policies from-zone untrust to-zone trust policy internal-access match destination-address internal-net
set security policies from-zone untrust to-zone trust policy internal-access match application any
set security policies from-zone untrust to-zone trust policy internal-access then permit
手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
パブリック・サブネット・アドレスからプライベート・サブネット・アドレスへの宛先NATマッピングを構成するには、次のようにします。
-
宛先 NAT プールを作成します。
[edit security nat destination] user@host# set pool dst-nat-pool-1 address 192.168.1.0/24 -
宛先 NAT ルール セットを作成します。
[edit security nat destination] user@host# set rule-set rs1 from interface ge-0/0/0.0 -
パケットを照合し、宛先アドレスをプール内のアドレスに変換するルールを設定します。
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.0/24 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1 -
プロキシ ARP を設定します。
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.62/32 -
グローバルアドレス帳にアドレスを設定します。
[edit security address-book global] user@host# set address internal-net 192.168.1.0/24 -
untrust ゾーンから trust ゾーン内のデバイスへのトラフィックを許可するセキュリティ ポリシーを設定します。
[edit security policies from-zone untrust to-zone trust] user@host# set policy internal-access match source-address any destination-address internal-net application any user@host# set policy internal-access then permit
業績
設定モードから、 show security nat コマンドと show security policies コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security nat
destination {
pool dst-nat-pool-1 {
address 192.168.1.0/24;
}
rule-set rs1 {
from interface ge-0/0/0.0;
rule r1 {
match {
destination-address 203.0.113.0/24;
}
then {
destination-nat pool dst-nat-pool-1;
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.1/32 to 203.0.113.62/32;
}
}
}
user@host# show security policies
from-zone untrust to-zone trust {
policy internal-access {
match {
source-address any;
destination-address internal-net;
application any;
}
then {
permit;
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
宛先 NAT プールの使用状況の確認
目的
宛先NAT プールからの IP アドレスを使用するトラフィックが存在することを確認します。
アクション
動作モードから、 show security nat destination pool all コマンドを入力します。[変換ヒット(Translation hits)] フィールドを表示して、プールの IP アドレスを使用してトラフィックを確認します。
宛先 NAT ルールの使用状況の確認
目的
宛先 NAT ルールに一致するトラフィックがあることを確認します。
アクション
動作モードから show security nat destination rule all コマンドを入力します。[翻訳ヒット(Translation hits)] フィールドを表示して、ルールに一致するトラフィックを確認します。
宛先 NAT 情報の監視
目的
NAT(宛先ネットワークアドレス変換)サマリー テーブルと、指定された NAT 宛先アドレス プール情報の詳細を表示します。
アクション
J-Web ユーザ インターフェイスで [Monitor>NAT> Destination NAT (宛先 NAT の監視 )] を選択するか、次の CLI コマンドを入力します。
show security nat destination summaryshow security nat destination pool pool-name
表 2 は、宛先 NAT ディスプレイの主要な出力フィールドをまとめたものです。
畑 |
価値観 |
アクション |
|---|---|---|
| 準則 | ||
ルールセット名 |
ルール・セットの名前。 |
リストから、表示するすべてのルールセットまたは特定のルールセットを選択します。 |
トータルルール |
構成されたルールの数。 |
– |
身分証明書 |
ルール ID 番号。 |
– |
名前 |
ルールの名前。 |
– |
ルールセット名 |
ルール・セットの名前。 |
– |
差出人 |
パケットの送信元のルーティング インスタンス/ゾーン/インターフェイスの名前。 |
– |
送信元アドレス範囲 |
ソース プール内の元 IP アドレス範囲。 |
– |
宛先アドレス範囲 |
ソース プール内の宛先 IP アドレス範囲。 |
– |
宛先ポート |
宛先プール内の宛先ポート。 |
– |
IPプロトコル |
IPプロトコル。 |
– |
アクション |
ルールに一致するパケットに対して実行されたアクション。 |
– |
アラームしきい値 |
使用率アラームしきい値。 |
– |
セッション(succ/failed/current) |
成功したセッション、失敗したセッション、現在のセッション。
|
– |
翻訳ヒット数 |
変換テーブル内の変換が宛先 NAT ルールに使用された回数。 |
– |
| プール | ||
プール名 |
プールの名前。 |
リストから表示するすべてのプールまたは特定のプールを選択します。 |
合計プール数 |
追加されたプールの合計数。 |
– |
身分証明書 |
プールの ID。 |
– |
名前 |
宛先プールの名前。 |
– |
アドレス範囲 |
宛先プール内の IP アドレス範囲。 |
– |
港 |
プール内の宛先ポート番号。 |
– |
ルーティング インスタンス |
ルーティング インスタンスの名前。 |
– |
総アドレス数 |
合計 IP アドレス、IP アドレス セット、またはアドレス ブック エントリー。 |
– |
翻訳ヒット数 |
変換テーブル内の変換が宛先 NAT に使用された回数。 |
– |
| 翻訳ヒットトップ10 | ||
グラフ |
上位 10 件の翻訳ヒットのグラフを表示します。 |
– |