NAT ルール

ネットワークアドレス変換 (NAT) を使用すると、ネットワーク間 (通常は信頼できるネットワークと信頼できないネットワークの間) を流れるトラフィックの IP アドレスとポートを変更できます。

送信元 NAT (SNAT) および宛先 NAT (DNAT) ルールを作成して、プライベートのルーティング不可能な IP アドレスをパブリックのルーティング可能な IP アドレスに変換することで、プライベートネットワークとパブリックネットワーク間のトラフィックフローを有効にできます。NAT ルールは、IPv4 および IPv6 ネットワークに対して作成できます。

宛先 NAT ルールでは、ループバックルールおよび再帰ルールを指定できます。これらのルールは、作成元の NAT ルールとは独立しており、元の NAT ルールを変更または削除した場合でも、影響を受けません。

リンク NAT ルールは、ファイアウォールルールから作成される SNAT ルールです。XG Firewall では、MTA モードでトラフィック照合を行うために、リンク NAT ルールが自動的に追加されます。

重複するローカルサブネット間のトラフィックフローを許可するには、VPN > IPsec 接続で、ポリシーベースの IPsec VPN に NAT を設定する必要があります。詳細は、サポートデータベースの文章 123356 をご覧ください。

  • NAT ルールを手動で追加するには、NAT ルールの追加新しい NAT ルールの順に選択します。
  • 宛先 NAT ルールおよび関連するファイアウォールルールを自動的に作成するには、NAT ルールの追加サーバーアクセスアシスタント (DNAT)の順に選択します。

サーバーアクセスアシスタント (DNAT)

受信トラフィックをサーバー (Web 、メール、SSH などのサーバー) に変換し、リモートデスクトップにアクセスするための DNAT ルールを作成できます。サーバーアクセスアシスタントでは、再帰 SNAT ルール (サーバーからの送信トラフィック用)、ループバックルール (サーバーにアクセスする内部ユーザー用)、およびファイアウォールルール (サーバーへの受信トラフィックを許可するルール) も自動的に作成されます。

ルールテーブルでの操作

  • ルールテーブルに IPv4 または IPv6 ルールを表示するには、IPv4またはIPv6を選択します。
  • ルールフィルタを非表示にするにはフィルタの無効化を、表示するにはフィルタの有効化を選択します。
  • ルールフィルタをリセットするには、フィルタのリセットを選択します。
  • ルールを無効にするには、ルールを選択してから無効を選択します。
  • ルールを削除するには、ルールを選択してから削除を選択します。
  • ルールの順序を変更するには、ルールハンドルボタン 「ルールハンドル」ボタン をドラッグ&ドロップします。XG Firewall では、一致するルールが見つかるまで、上から下に向かってルールが評価されます。パケットがルールに一致すると、その後のルールは評価されません。そのため、できるだけ具体的なルールを上位に配置するようにしてください。

詳細オプション (「オプションをもっと表示」ボタン) をクリックして、次の操作を行えます。

  • ルールの有効/無効をスイッチで切り替えます。
  • ルールを編集または削除するには、該当する操作を選択します。
  • 既存のルールの次にルールを追加するには、該当する操作を選択します。
  • ルールからファイアウォールルールへのリンクを解除するには、ルールのリンクを解除を選択します。
  • ルールが使用された回数をリセットするには、使用量計算をリセットを選択します。これは、トラブルシューティングのときに便利です。

ファイアウォールルールと NAT ルール

NAT ルールは、強制的にアドレス変換を行います。ネットワークへのトラフィックの入出力を許可するために、ファイアウォールルールも作成する必要があります。

NAT ルールの照合条件は、元の (NAT 前の) 送信元、宛先、サービス、インバウンドインターフェース、アウトバウンドインターフェースです。送信トラフィックには XG Firewall によってまずファイアウォールルールが適用され、続けて送信元 NAT ルールが適用されます。

一方、受信トラフィックには XG Firewall によってまず宛先 NAT ルールが適用され、続けてファイアウォールルールが適用されます。ファイアウォールルールの宛先ゾーンは変換後の (NAT 後の) 宛先が属するゾーンになります。

送信元 NAT

送信元 NAT ルールを作成して送信トラフィックに適用し、内部のクライアントやサーバーから外部ホストにアクセスできるようにできます。 XG Firewall は、1 対 1、多対 1、多対多の変換に対応しています。 この処理には、ポートアドレス変換が含まれます。

また、インターフェース固有の NAT を定義して、1つまたは複数の内部ホストの IP アドレスを、アウトバウンドインターフェースに指定した IP アドレスに変換することもできます。

パブリックインターフェースをブリッジメンバーとして設定した場合、そのパブリックインターフェースを使用して送信元 NAT ルールを作成することはできません。これは、ブリッジメンバーがゾーンに属していないためです。パブリックインターフェースをブリッジメンバーとして設定すると、そのインターフェースを使用する送信元 NAT ルールは削除されます。

宛先 NAT

宛先 NAT ルールを作成して受信トラフィックに適用し、外部ホストから内部のクライアントやサーバーにアクセスできるようにできます。パブリック IP アドレスからプライベート IP アドレスへの 1 対 1、多対 1、多対多、1 対多の変換を指定できます。

また、変換後の宛先ホスト (Web サーバーやメールサーバーなど) の負荷分散の方法や正常性チェックを指定することもできます。

サービス変換

XG Firewall のサービス変換ではポート転送が実装されています。 サービスは、プロトコルとポートの組み合わせです。 変換されたプロトコルは、元のプロトコルと一致する必要があります。

XG Firewall は、1 対 1、多対 1、多対多の変換に対応しています。 多対多の変換の場合、変換前と変換後のサービスのポートの数は同じである必要があります。

XG Firewall の Web 管理コンソールとユーザーポータルには、デフォルトのポート 4444 と 443 をそれぞれ使用して HTTPS 経由でアクセスできます。パブリック IP アドレスに内部 Web サーバーへの HTTPS ポート転送を設定している場合は、「管理 > 管理の設定」に移動し、管理コンソールの HTTPS ポートおよびユーザーポータル HTTPS ポートに未使用のポートを指定してください。または、Web サーバーに別のポートを指定してください。

ループバックルール

宛先 NAT ルールからループバックルールを作成して、内部ホストが外部の IP アドレスまたはドメイン名を介して他の内部ホストと通信できるようにできます。たとえば、受信トラフィックをサーバーに変換する宛先 NAT ルールを作成し、ループバックルールを作成します。

ループバックルールを作成するには、宛先 NAT ルールの条件を次のように指定します。

  • 変換前の送信元: 任意
  • 変換後の送信元: 変換前
  • 変換後の宛先: 「変換前」に設定しないでください。

再帰ルール

宛先 NAT ルールのミラー NAT ルールを作成できます。このルールは、宛先ルールの一致条件を逆にしたものです。たとえば、受信トラフィックを内部サーバーに変換する宛先 NAT ルールを作成した場合、それに対応する再帰ルールは、そのサーバーから、宛先 NAT ルールで指定した送信元へのトラフィックを許可するものとなります。

元の宛先が IP アドレスでない場合や、変換されたものである場合、変換された送信元はマスカレードされます。

リンク NAT ルール

ファイアウォールルールからリンク NAT ルールを作成できます。リンク NAT ルールは送信元 NAT ルールであり、NAT ルールテーブルに表示されます。

リンク NAT ルールには、ファイアウォールの一致条件 (ユーザーとスケジュールを含む) がすべて適用されます。NAT ルールのこれらの条件は編集できません。リンク NAT ルールには、変換後の送信元だけを指定できます (インターフェース固有の変換後の送信元を含む)。

リンク NAT ルールは、リンク先のファイアウォールルールに関連するトラフィックに対してのみ照合されます。ただし、リンク NAT ルールより上にあるルールと一致した場合は、そのルールの設定が適用されます。

NAT 設定の移行

SFOS 18.0 に旧バージョンから移行する場合、ファイアウォールルールの NAT 設定は NAT ルールとして移行され、NAT ルールテーブルに表示されます。新バージョンでは、ゲートウェイベースの NAT 設定を定義することはできません。

送信元 NAT の設定は、リンク NAT ルールとして移行されます。これらのルールは、元のファイアウォールルールにリンクされています。 移行された NAT ルールは、NAT ルールテーブルに表示されるファイアウォールルール ID と名前で識別できます。

宛先 NAT の設定は独立した NAT ルールとして移行され、ファイアウォールルールにリンクされません。

表 1. ルールの移行

移行前のルール

移行後のルール

ユーザー/ネットワークのルール

送信元 NAT ルールまたは宛先 NAT ルール (移行前の条件に基づく)。

メールクライアント

送信元 NAT ルール

DNAT/フル NAT/負荷分散

宛先 NAT ルール (および対応するファイアウォールルール)。

メールサーバー

宛先 NAT ルール

NAT 設定は次のように移行されます。

送信元 NAT (SNAT) ルール

  • マスカレードされ、変換後の送信元アドレスはそのまま移行されます。
  • ルールにゲートウェイ固有の NAT が設定されていない場合、変換後の宛先は MASQ に設定されます。
  • ブリッジメンバーであるパブリックインターフェースに対しては、デフォルトの送信元 NAT ルールは作成されません。

ユーザー/ネットワークのルールに、ゲートウェイ固有の NAT ポリシーおよびメールクライアント (ビジネスアプリケーション) ルールが設定されている:これらは、ファイアウォールルールおよびリンク NAT ルール (送信元 NAT ルール) として移行されます。移行後の NAT ルールは、次のように設定されます。

  • インバウンドインターフェースおよびアウトバウンドインターフェースは、任意に設定されます。
  • 変換後の宛先は、変換前に設定されます。
  • 移行後の NAT ルールにおいて固有のアウトバウンドインターフェースに対する送信元変換をオーバーライドが選択されます。

アウトバウンドインターフェースの変換後の送信元は、移行前の設定に基づいて次のように設定されます。

移行前: ゲートウェイとインターフェースの関係

移行後: 変換後の送信元

ゲートウェイにインターフェースが関連付けられていない

移行されません

インターフェースが特定のゲートウェイにのみ関連付けられている

ゲートウェイの NAT ポリシーホスト

インターフェースが特定のゲートウェイおよびデフォルトゲートウェイの両方に関連付けられている

  • デフォルトゲートウェイの NAT ポリシーホスト
  • その他のゲートウェイの 変換前

インターフェースが特定のゲートウェイおよびその他のゲートウェイ (デフォルトゲートウェイではない) に関連付けられている

  • 最初のゲートウェイの NAT ポリシーホスト
  • その他のゲートウェイの 変換前

「ゲートウェイ固有のデフォルト NAT ポリシーを上書き」が選択されている

指定したゲートウェイの NAT ポリシーホスト (デフォルトの NAT ポリシーホストではない)

宛先 NAT ルール: 宛先 NAT (ビジネスアプリケーション) ルールを移行すると、移行後の NAT ルールには、送信元ゾーンに基づいてインバウンドインターフェースが次のように表示されます。
  • 宛先 NAT ルールで指定した送信元ゾーンに属するインターフェース。

  • ブリッジインターフェース (送信元ゾーンに属している場合)。

  • デフォルトの任意 (送信元ゾーンにインターフェースが属していない場合)

送信元 NAT ルールのある DNAT ルール:DNAT ルールは、独立したファイアウォールおよび NAT ルールとして移行されます。再帰ルールが選択されている場合は、ファイアウォールルールおよびリンク NAT ルールとして移行されます。

メールサーバー (ビジネスアプリケーション) ルール:DNAT ルール移行の原則に従って移行されます。その他の移行設定は次のとおりです。

メールサーバーのルール

移行後の設定

ユーザーとグループ

ファイアウォールルールに移行

許可されたクライアントネットワーク

ファイアウォールルール内の送信元ネットワークとデバイス

ブロックされたクライアントネットワーク

ファイアウォールルール内の送信元ネットワークとデバイスの除外

保護されたゾーン

ファイアウォールルール内で「宛先ゾーン」が「任意」に設定されます

再帰ルール内の保護されたゾーン

ファイアウォールルール内の送信元ゾーン

保護されたサーバー

宛先 NAT ルール内の 変換後の宛先 (DNAT)

再帰ルール内の保護されたサーバー

ファイアウォールルール内の送信元ネットワークとデバイス

ルールテーブル内のリンク NAT ルールのクリーンアップ

送信元 NAT の設定は、リンク NAT ルールとして移行されます。これらのルールは、元のファイアウォールルールにリンクされています。

SFOS 18.0 に移行すると、NAT ルールテーブルに多数のリンク NAT ルール (送信元 NAT ルール) が作成される可能性があります。これらのルールは、NAT 設定がないファイアウォールルールにリンクされているか、移行前のユーザーおよびスケジュールに基づいて NAT が実装されたファイアウォールルールにリンクされています。

移行後の動作の変更を防ぐため、これらのルールは自動的には消去されませんが、削除することは可能です。次のような条件に一致するリンク NAT ルールが対象となります。

  • 変換後の送信元がMASQに設定されている
  • 宛先ゾーンがWANのみに設定されているファイアウォールルールにリンクされている

ルールテーブルの一番下に、デフォルトの送信元 NAT ルール (デフォルト SNAT IPv4 または デフォルト SNAT IPv6) が追加され、変換後の送信元がMASQに設定されています。このルールは、デフォルトでオフになっていますが、このルールの位置を変えて削除されたルールを置き換え、有効にすることができます。

NAT ルールテーブルのルールフィルタリングメニューの下部のボックスに、これらのリンク NAT ルールに対するオプションが表示されます。

  • 了解しました。ルールを削除しません: ルールを削除しません。次回からこのボックスは表示されません。
  • リンク NAT ルールを削除する (宛先が WAN の MASQ のみ): リンク NAT ルールのうち、変換後の送信元が MASQ に設定され、宛先ゾーンが WAN のみに設定されているファイアウォールルールにリンクされているものを削除します。
  • 右上の「X」ボタンを選択すると、このボックスを一時的に非表示にできます。後でページを開くと、ボックスが再表示されます。