ディスティネーション NAT
宛先 NAT は、ルーターを通過するパケットの宛先アドレスを変更します。また、TCP/UDP ヘッダーでポート変換を実行するオプションも提供します。ディスティネーション NAT は、主に外部アドレスまたはポート宛先を持つ受信パケットを、ネットワーク内の内部 IP アドレスまたはポートにリダイレクトするために使用されます。
宛先 NAT について
宛先 NAT は、ジュニパーネットワークス デバイスに入るパケットの宛先 IP アドレスの変換です。宛先 NAT は、仮想ホスト宛てのトラフィック(元の宛先 IP アドレスで識別されます)を実際のホスト(変換された宛先 IP アドレスで識別)にリダイレクトするために使用されます。
宛先 NAT が実行されると、設定された宛先 NAT ルールに従って宛先 IP アドレスが変換され、セキュリティ ポリシーが適用されます。
宛先 NAT では、インターネットからプライベート ネットワークに至るまで、受信ネットワーク接続に対してのみ接続を開始できます。一般的に、ディスティネーション NAT は以下のアクションを実行するために使用されます。
単一の IP アドレスを別のアドレスに変換します(たとえば、インターネット上のデバイスがプライベート ネットワーク上のホストに接続できるようにする場合など)。
連続したアドレスのブロックを同じサイズのアドレスの別のブロックに変換します(たとえば、サーバーのグループへのアクセスを許可するため)。
宛先 IP アドレスとポートを別の宛先 IP アドレスとポートに変換します(例えば、同じ IP アドレスと異なるポートを使用して複数のサービスにアクセスできるようにする場合)。
以下のタイプのディスティネーションNATがサポートされています。
元の宛先 IP アドレスをユーザー定義プールから IP アドレスに変換します。このタイプの変換には、PAT(ポートアドレス変換)は含まれません。元の宛先 IP アドレス範囲がユーザー定義アドレス プールのアドレス範囲よりも大きい場合、未変換パケットは破棄されます。
元の宛先 IP アドレス(およびオプションのポート番号)を、ユーザー定義プールから 1 つの特定の IP アドレス(およびポート番号)に変換します。
宛先 NAT アドレス プールについて
NAT プールは、変換に使用されるユーザー定義の IP アドレスのセットです。静的NATとは異なり、一方向への宛先IPアドレス変換と逆方向のソースIPアドレス変換を含む1対1のマッピングがあり、宛先NATでは、元の宛先アドレスをアドレスプール内のIPアドレスに変換します。
宛先 NAT アドレス プールの場合、以下を指定します。
宛先 NAT アドレス プールの名前
宛先アドレスまたはアドレス範囲
メモ:1 つのルーティング インスタンス内で、ソース NAT、ディスティネーション NAT、スタティック NAT の NAT アドレスを重複させません。
ポート転送に使用される宛先ポート
プールが属するルーティングインスタンス - 特定のルーティングインスタンスを指定しないディスティネーションNATプールは、イングレスゾーンのルーティングインスタンスにデフォルト設定されます。
メモ:デフォルトのルーティングインスタンスにNATプールが存在するように設定できます。デフォルトのルーティングインスタンスにNATプールが存在することを指定する設定オプションが利用可能です。その結果、NATプールは、デフォルトのルーティングインスタンスのゾーンと他のルーティングインスタンスのゾーンから到達可能です。
宛先 NAT ルールについて
ディスティネーション NAT ルールは、2 つのレイヤーの一致条件を指定します。
トラフィック方向 — 、 、
from zoneまたは を指定from interfaceできますfrom routing-instance。パケット情報—送信元IPアドレス、宛先IPアドレスまたはサブネット、宛先ポート番号またはポート範囲、プロトコル、またはアプリケーションが可能です。
ALG トラフィックでは、 オプションまたは application オプションをdestination-port照合条件として使用しないことをお勧めします。これらのオプションを使用すると、アプリケーション ペイロードのポート値が IP アドレスのポート値と一致しない可能性があるため、変換が失敗する可能性があります。
複数の宛先 NAT ルールが一致条件で重複する場合、最も具体的なルールが選択されます。例えば、ルールAとBが同じ送信元と宛先のIPアドレスを指定しているが、ルールAがゾーン1からのトラフィックを指定し、ルールBがインターフェイス ge-0/0/0からのトラフィックを指定する場合、ルールBは宛先NATを実行するために使用されます。インターフェイスの一致は、ルーティングインスタンスの一致よりも具体的なゾーン一致よりも具体的であると見なされます。
ディスティネーション NAT ルールに指定できるアクションは次のとおりです。
off — 宛先 NAT は実行しません。
pool—指定されたユーザー定義アドレスプールを使用して、宛先NATを実行します。
ディスティネーション NAT ルールは、フローまたは ALG のファスト パスで処理される最初のパケットのトラフィックに適用されます。ディスティネーション NAT ルールは静的 NAT ルールの後、ソース NAT ルールの前に処理されます。
ディスティネーション NAT 設定の概要
ディスティネーション NAT の主な設定タスクは次のとおりです。
- ネットワークとセキュリティの要件に合わせて、宛先 NAT アドレス プールを設定します。
- ネットワークやセキュリティの要件に合わせて、ディスティネーション NAT ルールを設定します。
- イングレスインターフェイスの同じサブネット内のIPアドレスに対してNATプロキシARPエントリーを設定します。
例:単一アドレス変換の宛先 NAT の設定
この例では、単一のパブリックアドレスの宛先NATマッピングをプライベートアドレスに設定する方法を説明します。
静的 NAT を使用して宛先 IP アドレスを別の宛先 IP アドレスにマッピングすることもできます。静的 NAT マッピングでは、ゲートウェイ デバイスの両側から接続を確立できますが、ディスティネーション NAT では片側からの接続のみを確立できます。ただし、静的NATでは、1つのアドレスから別のアドレスへの変換、または同じサイズのアドレスブロック間でのみ変換できます。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
SRX シリーズ デバイス
サーバー
開始する前に、以下を行います。
デバイス上のネットワーク インターフェイスを設定します。 『 Interfaces User Guide for Security Devices』を参照してください。
セキュリティ ゾーンを作成し、インターフェイスを割り当てます。 セキュリティ ゾーンについてを参照してください。
概要
一般的に、宛先 NAT は、公的にアクセス可能な IP アドレスを持つプライベート ネットワーク内のサービスを配信するために使用されます。これにより、ユーザーはパブリックIPアドレスでプライベートサービスを使用できます。宛先 NAT アドレス プールとディスティネーション NAT ルールの設定を使用して、ネットワークを調整し、セキュリティ要件を改善します。
この例では、まずプライベート アドレス 空間に trust セキュリティ ゾーンを設定し、次にパブリック アドレス スペースに untrust セキュリティ ゾーンを設定します。 図 1 では、untrust ゾーン内のデバイスは、パブリック アドレス 203.0.113.200/32 を使用して trust ゾーン内のサーバーにアクセスします。untrust ゾーンから宛先 IP アドレス 203.0.113.200/32 に入るパケットの場合、宛先 IP アドレスはプライベート アドレス 192.168.1.200/32 に変換されます。
トポロジ
表 1 は、この例で設定されたパラメーターを示しています。
パラメーター |
説明 |
|---|---|
Trustゾーン |
プライベート アドレス 空間のセキュリティ ゾーン。 |
Untrustゾーン |
パブリック アドレス スペースのセキュリティ ゾーン。 |
192.168.1.200/32 |
変換された宛先 NAT IP アドレス。 |
192.168.1.0/24 |
プライベートゾーンのプライベートサブネット。 |
203.0.113.200/32 |
サーバーのパブリック アドレス。 |
サーバー |
プライベート アドレス スペースのサーバー アドレス。 |
ge-0/0/0 および ge-1/0/0 |
トラフィック方向の NAT インターフェイス。 |
この例では、以下の設定について説明します。
IP アドレス 192.168.1.200/32 を含む宛先 NAT プール
dst-nat-pool-1。宛先 NAT ルールは、ge-0/0/0.0 インターフェイスから受信したパケットを宛先 IP アドレス 203.0.113.200/32 と一致させるルール
r1で設定rs1されています。一致するパケットの場合、宛先アドレスはプール内のアドレスにdst-nat-pool-1変換されます。インターフェイス ge-0/0/0.0 のアドレス 203.0.113.200/32 のプロキシー ARP。これにより、ジュニパーネットワークスのセキュリティ デバイスは、そのアドレスのインターフェイスで受信した ARP 要求に応答できます。
untrustゾーンからtrustゾーンの変換された宛先IPアドレスへのトラフィックを許可するセキュリティポリシー。
構成
手順
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。
set security nat destination pool dst-nat-pool-1 address 192.168.1.200/32 set security nat destination rule-set rs1 from interface ge-0/0/0.0 set security nat destination rule-set rs1 rule r1 match destination-address 203.0.113.200/32 set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32 set security address-book global address server-1 192.168.1.200/32 set security policies from-zone untrust to-zone trust policy server-access match source-address any set security policies from-zone untrust to-zone trust policy server-access match destination-address server-1 set security policies from-zone untrust to-zone trust policy server-access match application any set security policies from-zone untrust to-zone trust policy server-access then permit
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 CLIユーザーガイドの設定モードでのCLIエディターの使用を参照してください。
宛先 NAT マッピングをパブリック アドレスからプライベート アドレスに設定するには:
宛先 NAT プールを作成します。
[edit security nat destination] user@host# set pool dst-nat-pool-1 address 192.168.1.200/32
宛先 NAT ルール セットを作成します。
[edit security nat destination] user@host# set rule-set rs1 from interface ge-0/0/0.0
パケットと一致し、宛先アドレスをプール内のアドレスに変換するルールを設定します。
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.200/32 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1
プロキシARPを設定します。
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32
グローバル アドレス帳でアドレスを設定します。
[edit security address-book global] user@host# set address server-1 192.168.1.200/32
untrustゾーンからtrustゾーン内のサーバーへのトラフィックを許可するセキュリティポリシーを設定します。
[edit security policies from-zone untrust to-zone trust] user@host# set policy server-access match source-address any user@host# set policy server-access match destination-address server-1 user@host# set policy server-access match application any user@host# set policy server-access then permit
結果
設定モードから、 、 、 show security zonesコマンドを入力して設定をshow interfacesshow bridge-domains確認します。出力結果に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。
[edit]
user@host# show security nat
destination {
pool dst-nat-pool-1 {
address 192.168.1.200/32;
}
rule-set rs1 {
from interface ge-0/0/0.0;
rule r1 {
match {
destination-address 203.0.113.200/32;
}
then {
destination-nat pool dst-nat-pool-1;
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.200/32;
}
}
}
[edit]
user@host# show security address-book
global {
address server-1 192.168.1.200/32;
}
user@host# show security policies
from-zone untrust to-zone trust {
policy server-access {
match {
source-address any;
destination-address server-1;
application any;
}
then {
permit;
}
}
デバイスの設定が完了したら、設定モードから を入力します commit 。
検証
設定が正しく機能していることを確認します。
宛先 NAT プールの使用状況の検証
目的
宛先NATプールからのIPアドレスを使用したトラフィックがあることを確認します。
アクション
動作モードから、 コマンドを show security nat destination pool all 入力します。[Translation hits]フィールドを表示して、プールからのIPアドレスを使用してトラフィックを確認します。
user@host>show security nat destination pool all
Total destination-nat pools: 1
Pool name : dst-nat-pool-1
Pool id : 1
Total address : 1
Translation hits: 71
Address range Port
192.168.1.200 - 192.168.1.200 0
意味
コマンドは show security nat destination pool all 、変換されたアドレスのプールを表示します。[Translation hits]フィールドを表示して、プールからのIPアドレスを使用してトラフィックを確認します。
宛先 NAT ルールの使用の確認
目的
宛先 NAT ルールに一致するトラフィックがあることを確認します。
アクション
動作モードから、 コマンドを show security nat destination rule all 入力します。
user@host>show security nat destination rule all
Total destination-nat rules: 1
Total referenced IPv4/IPv6 ip-prefixes: 1/0
Destination NAT rule: r1 Rule-set: rs1
Rule-Id : 1
Rule position : 1
From interface : ge-0/0/0.0
Destination addresses : 203.0.113.200 - 203.0.113.200
Action : dst-nat-pool-1
Translation hits : 75
Successful sessions : 75
Failed sessions : 0
Number of sessions : 4
意味
コマンドは show security nat destination rule all 、宛先 NAT ルールを表示します。[変換がヒット] フィールドを表示して、宛先ルールに一致するトラフィックを確認します。
単一アドレス変換の宛先 NAT の検証
目的
単一アドレス変換の宛先 NAT の設定を検証します。
アクション
動作モードから、 コマンドを show security nat destination summary 入力します。
user@host>show security nat destination summary
Total pools: 1
Pool name Address Range Routing Port Total
Instance Address
dst-nat-pool-1 192.168.1.200 - 192.168.1.200 0 1
Total rules: 1
Rule name Rule set From Action
r1 rs1 ge-0/0/0.0 dst-nat-pool-1
意味
コマンドは show security nat destination summary 、宛先 NAT 設定に関する情報を表示します。以下の情報を確認できます。
ルール セット
ルール
アドレス範囲
NAT プール
ポートの詳細
トラフィックへのNATアプリケーションの検証
目的
NAT が指定されたトラフィックに適用されていることを確認します。
アクション
動作モードから、 コマンドを show security flow session 入力します。
user@host>show security flow session Session ID: 26415, Policy name: server-access/11, Timeout: 2, Valid In: 203.0.113.219/30 --> 203.0.113.200/54850;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/30;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Session ID: 26420, Policy name: server-access/11, Timeout: 2, Valid In: 203.0.113.219/31 --> 203.0.113.200/54850;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/31;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Session ID: 26425, Policy name: server-access/11, Timeout: 4, Valid In: 203.0.113.219/32 --> 203.0.113.200/54850;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/32;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Session ID: 26431, Policy name: server-access/11, Timeout: 4, Valid In: 203.0.113.219/33 --> 203.0.113.200/54850 ;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/33;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Total sessions: 9
意味
コマンドは show security flow session 、デバイス上のアクティブなセッションと各セッションの関連するセキュリティポリシーを表示します。出力には、203.0.113.200 のパブリック ホスト宛てのデバイスに入るトラフィックが、プライベート宛先 IP アドレス 192.168.1.200 に変換されていることがわかります。
Session IDセッションを識別する番号。このIDを使用して、ポリシー名や出入りするパケット数など、セッションに関する詳細な情報を取得します。
server-access—untrust ゾーンから trust ゾーンの変換された宛先 IP アドレスへのトラフィックを許可するポリシー名。
In—受信フロー(それぞれの送信元と宛先のポート番号を持つ送信元と宛先の IP アドレス、セッションは ICMP、このセッションの送信元インターフェイスは ge-0/0/0.0)
Out—リバース フロー(送信元と宛先の IP アドレスとそれに対応する送信元と宛先のポート番号、セッションは ICMP、このセッションの宛先インターフェイスは ge-0/0/1.0)を逆にします。
例:IP アドレスとポート変換のための宛先 NAT の設定
この例では、ポート番号に応じて、パブリックアドレスの宛先NATマッピングをプライベートアドレスに設定する方法を説明します。
要件
開始する前に、以下を行います。
デバイス上のネットワーク インターフェイスを設定します。 『 Interfaces User Guide for Security Devices』を参照してください。
セキュリティ ゾーンを作成し、インターフェイスを割り当てます。 セキュリティ ゾーンについてを参照してください。
概要
この例では、プライベート アドレス 空間に trust セキュリティ ゾーンを使用し、パブリック アドレス スペースには untrust セキュリティ ゾーンを使用します。 図 2 では、ポート 80 または 8000 のパブリック アドレス 203.0.113.200 を使用して trust ゾーン内の untrust ゾーンのデバイスにアクセス します。untrustゾーンからジュニパーネットワークスのセキュリティデバイスに入るパケットは、以下のようにサーバーのプライベートアドレスにマッピングされます。
宛先 IP アドレス 203.0.113.200 とポート 80 は、プライベート アドレス 192.168.1.200 およびポート 80 に変換されます。
宛先 IP アドレス 203.0.113.200 およびポート 8000 は、プライベート アドレス 192.168.1.220 およびポート 8000 に変換されます。
この例では、以下の設定について説明します。
IP アドレス 192.168.1.200 ポート 80 を含む宛先 NAT プール
dst-nat-pool-1。IP アドレス 192.168.1.220 とポート 8000 を含む宛先 NAT プール
dst-nat-pool-2。untrust ゾーンから受信したパケットを宛先 IP アドレス 203.0.113.200 および宛先ポート 80 と一致させるルール
r1を使用して、宛先 NAT ルールを設定rs1します。一致するパケットの場合、宛先アドレスはプール内のアドレスにdst-nat-pool-1変換されます。untrust ゾーンから受信したパケットを宛先 IP アドレス 203.0.113.200 および宛先ポート 8000 と一致させるルール
r2を使用して、宛先 NAT ルールを設定rs1します。一致するパケットの場合、宛先 IP アドレスとポートはプール内のアドレスとポートにdst-nat-pool-2変換されます。アドレス 203.0.113.200/32 のプロキシー ARP。これにより、ジュニパーネットワークスのセキュリティ デバイスは、そのアドレスのインターフェイスで受信した ARP 要求に応答できます。
untrustゾーンからtrustゾーンの変換された宛先IPアドレスへのトラフィックを許可するセキュリティポリシー。
構成
手順
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。
set security nat destination pool dst-nat-pool-1 address 192.168.1.200/32 set security nat destination pool dst-nat-pool-1 address port 80 set security nat destination pool dst-nat-pool-2 address 192.168.1.220/32 set security nat destination pool dst-nat-pool-2 address port 8000 set security nat destination rule-set rs1 from zone untrust set security nat destination rule-set rs1 rule r1 match destination-address 203.0.113.200/32 set security nat destination rule-set rs1 rule r1 match destination-port 80 set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1 set security nat destination rule-set rs1 rule r2 match destination-address 203.0.113.200/32 set security nat destination rule-set rs1 rule r2 match destination-port 8000 set security nat destination rule-set rs1 rule r2 then destination-nat pool dst-nat-pool-2 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32 set security address-book global address server-2 192.168.1.220/32 set security address-book global address server-1 192.168.1.200/32 set security policies from-zone untrust to-zone trust policy server-access match source-address any set security policies from-zone untrust to-zone trust policy server-access match destination-address server-1 set security policies from-zone untrust to-zone trust policy server-access match destination-address server-2 set security policies from-zone untrust to-zone trust policy server-access match application any set security policies from-zone untrust to-zone trust policy server-access then permit
手順
以下の例では、設定階層内のさまざまなレベルを移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
宛先 NAT マッピングをパブリック アドレスからプライベート アドレスに設定するには:
宛先 NAT プールを作成します。
[edit security nat destination] user@host# set pool dst-nat-pool-1 address 192.168.1.200 port 80 user@host# set pool dst-nat-pool-2 address 192.168.1.220 port 8000
宛先 NAT ルール セットを作成します。
[edit security nat destination] user@host# set rule-set rs1 from zone untrust
パケットと一致し、宛先アドレスをプール内のアドレスに変換するルールを設定します。
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.200 user@host# set rule-set rs1 rule r1 match destination-port 80 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1
パケットと一致し、宛先アドレスをプール内のアドレスに変換するルールを設定します。
[edit security nat destination] user@host# set rule-set rs1 rule r2 match destination-address 203.0.113.200 user@host# set rule-set rs1 rule r2 match destination-port 8000 user@host# set rule-set rs1 rule r2 then destination-nat pool dst-nat-pool-2
プロキシARPを設定します。
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32
グローバル アドレス帳でアドレスを設定します。
[edit security address-book global] user@host# set address server-2 192.168.1.220/32 user@host# set address server-1 192.168.1.200/32
untrustゾーンからtrustゾーン内のサーバーへのトラフィックを許可するセキュリティポリシーを設定します。
[edit security policies from-zone untrust to-zone trust] user@host# set policy server-access match source-address any destination-address [server-1 server-2] application any user@host# set policy server-access then permit
結果
設定モードから、 および show security policies コマンドを入力して設定をshow security nat確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host# show security nat
destination {
pool dst-nat-pool-1 {
address 192.168.1.200/32 port 80;
}
pool dst-nat-pool-2 {
address 192.168.1.220/32 port 8000;
}
rule-set rs1 {
from zone untrust;
rule r1 {
match {
destination-address 203.0.113.200/32;
destination-port 80;
}
then {
destination-nat pool dst-nat-pool-1;
}
}
rule r2 {
match {
destination-address 203.0.113.200/32;
destination-port 8000;
}
then {
destination-nat pool dst-nat-pool-2;
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.200/32;
}
}
}
user@host# show security policies
from-zone untrust to-zone trust {
policy server-access {
match {
source-address any;
destination-address [ server-1 server-2 ];
application any;
}
then {
permit;
}
}
}
デバイスの設定が完了したら、設定モードから を入力します commit 。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
宛先 NAT プールの使用状況の検証
目的
宛先NATプールからのIPアドレスを使用したトラフィックがあることを確認します。
アクション
動作モードから、 コマンドを show security nat destination pool all 入力します。[Translation hits]フィールドを表示して、プールからのIPアドレスを使用してトラフィックを確認します。
宛先 NAT ルールの使用の確認
目的
宛先 NAT ルールに一致するトラフィックがあることを確認します。
アクション
動作モードから、 コマンドを show security nat destination rule all 入力します。[翻訳がヒット] フィールドを表示して、ルールに一致するトラフィックを確認します。
例:サブネット変換のための宛先 NAT の設定
この例では、パブリックサブネットアドレスの宛先NATマッピングをプライベートサブネットアドレスに設定する方法を説明します。
静的 NAT を使用して、あるサブネットから別のサブネットへのアドレスのマッピングも実行できます。静的 NAT マッピングでは、ゲートウェイ デバイスの両側から接続を確立できます。一方、ディスティネーション NAT では 1 つの側からの接続の確立が可能です。ただし、静的 NAT では、同じサイズのアドレス ブロック間での変換のみが可能です。
要件
開始する前に、以下を行います。
デバイス上のネットワーク インターフェイスを設定します。 『 Interfaces User Guide for Security Devices』を参照してください。
セキュリティ ゾーンを作成し、インターフェイスを割り当てます。 セキュリティ ゾーンについてを参照してください。
概要
この例では、プライベート アドレス 空間に trust セキュリティ ゾーンを使用し、パブリック アドレス スペースには untrust セキュリティ ゾーンを使用します。 図 3 では、パブリック サブネット アドレス 203.0.113.0/24 を使用して trust ゾーン内の untrust ゾーン内のデバイスにアクセスします。203.0.113.0/24 サブネット内の宛先 IP アドレスを持つ untrust ゾーンからジュニパーネットワークス セキュリティ デバイスに入るパケットの場合、宛先 IP アドレスは 192.168.1.0/24 サブネット上のプライベート アドレスに変換されます。
この例では、以下の設定について説明します。
IP アドレス 192.168.1.0/24 を含む宛先 NAT プール
dst-nat-pool-1。宛先 NAT ルールは、ge-0/0/0.0 インターフェイスから受信したパケットと 203.0.113.0/24 サブネット上の宛先 IP アドレスを一致させるルール
r1で設定rs1されています。一致するパケットの場合、宛先アドレスはプール内のアドレスにdst-nat-pool-1変換されます。インターフェイスge-0/0/0.0上のアドレス203.0.113.1/32~203.0.113.62/32のプロキシARP。これらは、203.0.113.0/24 サブネットから変換する必要があるホストの IP アドレスです。これにより、ジュニパーネットワークスのセキュリティ デバイスは、そのアドレスのインターフェイスで受信した ARP 要求に応答できます。アドレス 203.0.113.0/24 はインターフェイス自体に割り当てられているため、このアドレスはプロキシ ARP 設定には含まれません。203.0.113.1/32~203.0.113.62/32 の範囲にないアドレスは、ネットワーク上に存在する予定ではなく、変換されません。
untrustゾーンからtrustゾーンの変換された宛先IPアドレスへのトラフィックを許可するセキュリティポリシー。
構成
手順
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。
set security nat destination pool dst-nat-pool-1 address 192.168.1.0/24 set security nat destination rule-set rs1 from interface ge-0/0/0.0 set security nat destination rule-set rs1 rule r1 match destination-address 203.0.113.0/24 set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.62/32 set security address-book global address internal-net 192.168.1.0/24 set security policies from-zone untrust to-zone trust policy internal-access match source-address any set security policies from-zone untrust to-zone trust policy internal-access match destination-address internal-net set security policies from-zone untrust to-zone trust policy internal-access match application any set security policies from-zone untrust to-zone trust policy internal-access then permit
手順
以下の例では、設定階層内のさまざまなレベルを移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
パブリックサブネットアドレスからプライベートサブネットアドレスへのディスティネーションNATマッピングを設定するには:
宛先 NAT プールを作成します。
[edit security nat destination] user@host# set pool dst-nat-pool-1 address 192.168.1.0/24
宛先 NAT ルール セットを作成します。
[edit security nat destination] user@host# set rule-set rs1 from interface ge-0/0/0.0
パケットと一致し、宛先アドレスをプール内のアドレスに変換するルールを設定します。
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.0/24 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1
プロキシARPを設定します。
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.62/32
グローバル アドレス帳でアドレスを設定します。
[edit security address-book global] user@host# set address internal-net 192.168.1.0/24
untrustゾーンからtrustゾーン内のデバイスへのトラフィックを許可するセキュリティポリシーを設定します。
[edit security policies from-zone untrust to-zone trust] user@host# set policy internal-access match source-address any destination-address internal-net application any user@host# set policy internal-access then permit
結果
設定モードから、 および show security policies コマンドを入力して設定をshow security nat確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host# show security nat
destination {
pool dst-nat-pool-1 {
address 192.168.1.0/24;
}
rule-set rs1 {
from interface ge-0/0/0.0;
rule r1 {
match {
destination-address 203.0.113.0/24;
}
then {
destination-nat pool dst-nat-pool-1;
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.1/32 to 203.0.113.62/32;
}
}
}
user@host# show security policies
from-zone untrust to-zone trust {
policy internal-access {
match {
source-address any;
destination-address internal-net;
application any;
}
then {
permit;
}
}
}
デバイスの設定が完了したら、設定モードから を入力します commit 。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
宛先 NAT プールの使用状況の検証
目的
宛先NATプールからのIPアドレスを使用したトラフィックがあることを確認します。
アクション
動作モードから、 コマンドを show security nat destination pool all 入力します。[Translation hits]フィールドを表示して、プールからのIPアドレスを使用してトラフィックを確認します。
宛先 NAT ルールの使用の確認
目的
宛先 NAT ルールに一致するトラフィックがあることを確認します。
アクション
動作モードから、 コマンドを show security nat destination rule all 入力します。[翻訳がヒット] フィールドを表示して、ルールに一致するトラフィックを確認します。
宛先 NAT 情報の監視
目的
NAT(宛先ネットワーク アドレス変換)サマリー テーブルと、指定された NAT 宛先アドレス プール情報の詳細を表示します。
アクション
J-Web ユーザー インターフェイスで [Monitor>NAT> Destination NAT を選択するか、次の CLI コマンドを入力します。
show security nat destination summaryshow security nat destination pool pool-name
表 2 は 、宛先 NAT ディスプレイの主要な出力フィールドをまとめたものです。
フィールド |
値 |
アクション |
|---|---|---|
| ルール | ||
ルールセット名 |
ルール セットの名前。 |
すべてのルール セットまたは表示する特定のルール セットを一覧から選択します。 |
ルールの合計 |
設定されたルールの数。 |
– |
Id |
ルール ID 番号。 |
– |
名前 |
ルールの名前. |
– |
ルール・セット名 |
ルール セットの名前。 |
– |
差出人 |
パケットがフローするルーティング インスタンス/ゾーン/インターフェイスの名前。 |
– |
送信元アドレス範囲 |
送信元プールの送信元 IP アドレス範囲。 |
– |
宛先アドレス範囲 |
送信元プールの宛先 IP アドレス範囲。 |
– |
宛先ポート |
宛先プールの宛先ポート。 |
– |
IP プロトコル |
IPプロトコル。 |
– |
アクション |
ルールに一致するパケットに対して実行されたアクション。 |
– |
アラームしきい値 |
使用率アラームしきい値。 |
– |
セッション(Succ/Failed/Current) |
成功、失敗、現在のセッション。
|
– |
翻訳のヒット |
- 変換テーブル内の変換が宛先 NAT ルールに使用される回数。 |
– |
| プール | ||
プール名 |
プールの名前。 |
リストから表示するすべてのプールまたは特定のプールを選択します。 |
プールの合計 |
プールの合計が追加されました。 |
– |
Id |
プールの ID。 |
– |
名前 |
宛先プールの名前。 |
– |
アドレス範囲 |
宛先プールの IP アドレス範囲。 |
– |
ポート |
プール内の宛先ポート番号。 |
– |
ルーティング インスタンス |
ルーティング インスタンスの名前。 |
– |
総アドレス数 |
IP アドレス、IP アドレス セット、またはアドレス帳エントリーの合計。 |
– |
翻訳のヒット |
- 変換テーブル内の変換が宛先 NAT に使用される回数。 |
– |
| 翻訳ヒットトップ 10 | ||
グラフ |
翻訳がヒットした上位 10 件のグラフを表示します。 |
– |