コンテンツにスキップ

サーバーアクセスアシスタントを使用した DNAT ルールの追加

サーバーアクセスアシスタントを使用すると、内部サーバーへの受信トラフィックの宛先 NAT (DNAT) ルールを作成できます。

サーバーアクセスアシスタントを使って DNAT ルールを作成し、サーバー (Web、メール、SSH などのサーバー) へのトラフィックを変換し、リモートデスクトップを利用できるようにします。このアシスタントによって、再帰 SNAT ルール (サーバーからの送信トラフィック用)、ループバックルール (サーバーにアクセスする内部ユーザー用)、およびファイアウォールルール (サーバーの受信トラフィックを許可するルール) も自動的に作成されます。

サーバーアクセスアシスタントを使用して、基本的な要件を満たす NAT およびファイアウォールルールを作成するのは簡単なプロセスです。他のルール設定を追加するには、後でこれらのルールを編集します。

  1. 以下のいずれかの方法で、サーバーアクセスアシスタントを選択します。
    • ルールとポリシー > NAT ルール」に移動し、「IPv4」または「IPv6」を選択して、「NAT ルールの追加」をクリックします。「サーバーアクセスアシスタント (DNAT)」を選択します。
    • ルールとポリシー > ファイアウォールルール」に移動し、「IPv4」または「IPv6」を選択して、「ファイアウォールルールの追加」をクリックします。「新しいファイアウォールルール > サーバーアクセスアシスタント (DNAT)」をクリックします。
  2. 設定を指定します。

    名前 説明
    内部サーバーの IP アドレス インターネットアクセスを提供する内部サーバーを指定します。内部サーバーを指定するには、リストからサーバーを選択するか、プライベート IP アドレスを入力します。サーバーの IP アドレスを入力すると、自動的に IP ホストが作成されて名前が割り当てられます。名前は変更することができます。

    複数のサーバーを指定するには、後でルールを編集します。
    パブリック IP アドレス パブリック IP アドレスまたは WAN インターフェースの選択。または、パブリック IP アドレスを入力することもできます。

    IP アドレスを入力すると、自動的に IP ホストが作成されて名前が割り当てられます。名前は変更することができます。

    複数のパブリックインターフェースまたは IP アドレスを指定するには、後でルールを編集します。
    サービス ユーザーが内部サーバーでアクセスできるサービスを選択します。

    ここでは新しいサービスを作成できません。サーバーアクセスアシスタントを使用してルールを作成する前、または後でルールを編集するときに、ルールを追加できます。

    ポート変換を指定するには、後でルールを編集します。
    外部の送信元ネットワークとデバイス ユーザーが内部サーバーにアクセスできるソースネットワークとデバイスを選択します。

    内部ユーザーがサーバーにアクセスするためのループバックルールを自動的に作成するには、「任意」を選択します。
    保存して完了する 設定とルールを確認します。設定を保存します。

    サーバーアクセスアシスタントは、アドレス変換用の DNAT、再帰 SNAT、およびループバック NAT ルールと、内部サーバーへの受信トラフィックを許可するファイアウォールルールを作成します。ルールは NAT ルールテーブルおよびファイアウォールルールテーブルの一番上に追加され、デフォルトで有効になります。

    再帰ルール名とループバックルール名には、作成した DNAT ルールの名前とルール ID が含まれます。ファイアウォールルール名には、DNAT ルール名が含まれます。

    自動作成されたループバックルールでは、送信元ネットワークと受信インターフェースが「任意」に設定されます。したがって、単一の DNAT ルールで以下の設定を指定した場合、ループバックルールは自動的に作成されません: 「外部の送信元ネットワークとデバイス」を「任意」に設定し、「パブリック IP アドレス」をインターフェースではない IP アドレスに設定した場合 (インターフェースではない IP アドレスに到達したトラフィックが、任意の受信インターフェースを通過できます)。

    このように設定した場合は、ループバックルールの送信元ネットワークと受信インターフェースが、DNAT ルールと同じになります。ファイアウォールがトラフィックを DNAT ルールと照合すると、その下にリストされているループバックルールは照合されないので、ループバックルールが冗長になります。

    このような場合は、DNAT ルールを手動で作成して、内部サブネット間のトラフィックを変換することができます。

その後の手順

  • 要件に応じて、NAT ルールテーブルおよびファイアウォールルールテーブル内のルールの位置を調整します。Sophos Firewall はルールを上から下の順序で評価します。
  • 必要に応じて、ルールを編集して他の設定を指定します。
  • 必要に応じて、リフレクシブ NAT ルールに一致するアウトバウンドトラフィックを許可するファイアウォールルールを作成します。

その他のリソース