コンテンツにスキップ

NAT ルール

ネットワークアドレス変換 (NAT) によって、ネットワーク間を流れるトラフィックの IP アドレスとポートを変換できます。

プライベート IP アドレスをパブリック IP アドレスに変換し、プライベート IP ネットワークがインターネットに接続できるようにして、内部ネットワークをパブリック IP アドレスの背後に隠すことができます。

送信元 NAT (SNAT) および宛先 NAT (DNAT) ルールを作成して、ルーティング不可能なプライベート IP アドレスをルーティング可能なパブリック IP アドレスに変換することで、プライベートネットワークとパブリックネットワーク間のトラフィックフローを有効にできます。IPv4 および IPv6 ネットワーク用の NAT ルールを作成できます。

宛先 NAT ルールのループバックルールと再帰ルールを指定できます。これらのルールは、作成元のルールとは関係ありません。元の NAT ルールを変更または削除しても、変更や削除には影響しません。

リンクされた NAT ルールは SNAT ルールであり、ファイアウォールルールから作成されます。Sophos Firewall は、メール MTA モードのトラフィックを照合するために、リンクされた NAT ルールを自動的に追加します。

重複するローカルサブネット間のトラフィックフローを許可するには、「サイト間 VPN > IPsec > IPsec 接続」で、ポリシーベースの IPsec VPN に対して NAT を設定する必要があります。詳しくは、サイト間 IPsec VPN 接続に NAT を適用する手順を参照してください。

  • NAT ルールを手動で追加するには、「NAT ルールの追加」 を選択した後、「新しい NAT ルール」を選択します。
  • 宛先 NAT ルールと関連するファイアウォールルールを自動的に作成するには、「NAT ルールの追加」を選択してから、「サーバーアクセスアシスタント (DNAT)」を選択します。

サーバーアクセスアシスタント (DNAT)

サーバーアクセスアシスタントを使って DNAT ルールを作成し、サーバー (Web、メール、SSH などのサーバー) へのトラフィックを変換し、リモートデスクトップを利用できるようにします。このアシスタントによって、再帰 SNAT ルール (サーバーからの送信トラフィック用)、ループバックルール (サーバーにアクセスする内部ユーザー用)、およびファイアウォールルール (サーバーの受信トラフィックを許可するルール) も自動的に作成されます。

ルールテーブルのアクション

  • ルールテーブルで IPv4 または IPv6 ルールを表示するには、「IPv4」または「IPv6」を選択します。
  • ルールフィルタを表示または非表示にするには、「フィルタの無効化」および「フィルタの有効化」をそれぞれ選択します。
  • ルールフィルタをリセットするには、「フィルタのリセット」を選択します。
  • ルールをオフにするに無効は、ルールを選択してからを選択します。
  • ルールを削除するには、ルールを選択してから「削除」を選択します。
  • ルールの順番を変更するには、「ルールハンドル」 「ルールハンドル」ボタン をクリックしてドラッグします。Sophos Firewall は、一致するルールが見つかるまで、上から下に向かってルールを評価します。パケットの一致が見つかると、後続のルールは評価されません。このため、特定のルールをより具体的でないルールよりも上に配置してください。

「その他のオプション」 「その他のオプション」ボタン をクリックして、以下の操作を行えます。

  • ルールをオンまたはオフにするには、スイッチを選択します。
  • ルールを編集または削除するには、該当するボタンを選択します。
  • 既存のルールの横にルールを追加するには、アクションを選択します。
  • ファイアウォールルールからルールのリンクを解除するには、「ルールのリンクを解除」を選択します。
  • ルールが使用されていた回数をリセットするには、「使用量計算をリセット」を選択します。これは、トラブルシューティングの際に役立ちます。

ファイアウォールルールと NAT ルール

ファイアウォールルールによって、ネットワークで送受信するトラフィックを許可または破棄できます。NAT ルールは、ファイアウォールルールで許可されているトラフィックの IP アドレスを変換します。そのため、NAT ルールを作成した場合でも、ファイアウォールルールを作成する必要があります。

トラフィックがどのファイアウォールルールにも一致しない場合、トラフィックは破棄され、ログにイベントが記録されます。トラフィックがどの NAT ルールにも一致しない場合、トラフィックは通過できますが、IP アドレスは変換されません。

NAT ルールの場合、一致基準は、元の (NAT 前の) 送信元、宛先、サービス、および受信および送信インターフェースです。NAT ルールおよびファイアウォールルールは、以下の順番で照合・適用されます。

  • 送信トラフィック: 最初にファイアウォールルールが適用され、次に SNAT ルールが適用されます。

  • 受信トラフィック: 最初に DNAT ルールと照合し、宛先を変換します。その後に、ファイアウォールルールと照合し、送信元および宛先ゾーン、送信元および宛先ネットワーク、サービス、スケジュールが一致しているかどうかを調べます。なお、宛先ゾーンは、変換後の宛先が属するゾーンとなります。

    WAN または LAN ゾーンから DMZ 内の Web サーバーに送信されるトラフィックの場合、DNAT ルールを作成して、パブリック IP アドレス (変換前の宛先) を Web サーバーの IP アドレス (変換後の宛先) に変換できます。

    Sophos Firewall で、パケットを受信すると、DNAT ルールと照合され、指定した変換後の宛先が属するゾーンが識別されます。この例では、DMZ が宛先ゾーンであることがわかります。

    したがって、このトラフィックに一致するファイアウォールルールを作成するには、宛先ゾーンを DMZ に設定する必要があります。

    DNAT ルールとそれに対応するファイアウォールルールを作成する例については、内部サーバー用の DNAT ルールとファイアウォールルールの作成を参照してください。

送信元 NAT

Sophos Firewall にはデフォルトの送信元 NAT (SNAT) ルールがあり、変換後の宛先が「MASQ」に設定されています。

ヒント

SNAT ルールの「MASQ」は、デフォルトで、元の IP アドレスを WAN IP アドレスに変換します。

ただし、ルートベースの VPN の設定時に、ローカルサブネットおよびリモートサブネットを「任意」、または「IP バージョン」を「デュアル」にした場合は、SNAT で「MASQ」が設定されていると、変換前の送信元は XFRM の IP アドレスに変換されます。

tcpdump とパケットキャプチャで、XFRM の IP アドレスを確認できます。IP アドレスは以下のように表示されます。
WAN IP アドレス: カプセル化されたパケットの外部のIPヘッダー。
XFRM IP アドレス: 送信元の内部の IP ヘッダー。

送信トラフィック用の SNAT ルールによって、内部のクライアントやサーバーが外部ホストにアクセスすることができます。内部のクライアントやサーバーが複数ある場合は、それらの送信元 IP アドレスを、ポート番号が異なる 1つのパブリック IP アドレスに変換できます。変換後の送信元には、IP アドレスまたは IP 範囲を設定できます。

変換後の送信元として IP アドレス範囲を設定すると、その範囲内で次に使用可能な IP アドレスが割り当てられます。変換前と変換後で、送信元の範囲に含まれる IP アドレスの数が同じであっても、1 対 1 の変換が実行されるわけではありません。

また、インターフェース固有の NAT を定義して、1つまたは複数の内部ホストの IP アドレスを送信インターフェースに指定した IP アドレスに変換することもできます。

ブリッジメンバーはゾーンに属さないため、ブリッジメンバーであるパブリックインターフェースを使用して SNAT ルールを作成することはできません。パブリックインターフェースをブリッジメンバーとして設定すると、そのインターフェースを使用する送信元 NAT ルールが削除されます。

宛先 NAT

受信トラフィック用の宛先 NAT (DNAT) ルールを作成し、外部のホストが内部のクライアントやサーバーにアクセスできるようにできます。パブリック IP アドレスからプライベート IP アドレスへの 1 対 1、多対 1、多対多、および 1 対多変換を指定できます。

負荷分散とフェールオーバー

変換後の宛先ホスト (Web サーバーやメールサーバーなど) の負荷分散の方法を指定できます。負荷分散の方法としては、ラウンドロビン、ファーストアライブ、ランダム、スティッキー IP、1 対 1 を選択できます。

サーバーが使用可能かどうかをファイアウォールで判断できるようにするには、「セキュリティ状態のチェック」を選択し、設定を指定する必要があります。

ラウンドロビン

各サーバーに順番にリクエストを送信します。まず、リストに含まれる最初の使用可能なサーバーにリクエストを送信し、次のリクエストを、リスト内の次のサーバーに送信するといった具合です。

セッションを持続する必要がない場合は、この方法によって、接続数を均等に分散できます。

変換後の宛先: 10.10.10.1~10.10.10.3

割り当て済みサーバー:

  • 最初のリクエスト: 10.10.10.1
  • 2番目のリクエスト: 10.10.10.2
  • 3番目のリクエスト: 10.10.10.3
  • 4番目のリクエスト: 10.10.10.1

ファーストアライブ

リスト内の最初の使用可能なサーバーにリクエストを送信します。このサーバーが使用不可能な状態になった場合のみに、次のサーバーにリクエストを送信します (セキュリティ状態のチェックを有効にしていることが前提となります)。

帯域幅の大きいサーバーにすべてのリクエストを送信し、他のサーバーをバックアップとして使用したい場合は、この方法を使用します。

変換後の宛先: 10.10.10.1~10.10.10.3

割り当て済みサーバー: すべてのリクエストは、10.10.10.1 が使用可能である限り、このサーバーに送信されます。

ランダム

サーバーをランダムに選択して、リクエストを送信します。

変換後の宛先: 10.10.10.1~10.10.10.3

割り当て済みサーバー: サーバーをランダムに選択して、リクエストを送信します。

IP の維持

送信元 IP アドレスと、変換前の宛先 IP アドレスからハッシュを生成します。次に、サーバー数に基づくモジュロ演算をハッシュに対して実行し、変換後の宛先 IP アドレスを決定します。したがって、送信元と宛先のペアに対して、サーバーは常に同じになります。

割り当てられたサーバーが使用できなくなった場合は、そのサーバーが再び使用可能になるまでの間、次に使用可能なサーバーにトラフィックを送信します (セキュリティ状態のチェックを設定していることが前提となります)。ただし、ファイアウォールはステートフル接続を維持し、新しい接続のみを、復旧したサーバーとの間に確立します。

この方法は、ショッピングカートや銀行取引など、セッションを持続したいアプリケーションに使用します。

送信元 IP アドレス: 192.168.1.0/24

変換前の宛先: 172.16.1.1~172.16.1.4

変換後の宛先: 10.10.10.1~10.10.10.3

割り当て済みサーバー: ハッシュにモジュロ演算を適用し (送信元が 192.168.1.1 で、変換前の宛先が 172.16.1.1 とします)、10.10.10.3 が導かれたとします。この場合、10.10.10.3 のサーバーが使用可能である限り、同じ送信元と宛先間のリクエストは、常にこのサーバーに送信されます。

1 対 1

変換前と変換後の宛先 IP アドレスをリスト順に 1 対 1 でマッピングし、このマッピングに従ってサーバーにリクエストを送信します。

たとえば、リスト内で最初の変換前の宛先に到達したリクエストは、常に、リスト内で最初の変換後の宛先に送信されます。

このルールを保存するには、変換前と変換後の宛先 IP アドレスの数を同じにしてください。

変換前の宛先: 172.16.1.1~172.16.1.3

変換後の宛先: 10.10.10.1~10.10.10.3

割り当て済みサーバー:

  • 172.16.1.1 へのリクエストは 10.10.10.1 に送信されます。
  • 172.16.1.2 へのリクエストは 10.10.10.2 に送信されます。
  • 172.16.1.3 へのリクエストは 10.10.10.3 に送信されます。

サービスの翻訳

Sophos Firewall は、サービス変換を使用してポート転送を実装します。サービスは、プロトコルとポートの組み合わせです。変換されたプロトコルは、変換前のプロトコルと一致する必要があります。

Sophos Firewall は、1 対 1、多対 1、多対多の変換を実装します。多対多変換の場合、元のサービスおよび変換されたサービスのポート番号は同じでなければなりません。

Sophos Firewall の Web 管理コンソールとユーザーポータルには、デフォルトのポート 4444 と 443 を使用して、それぞれ HTTPS 経由でアクセスできます。パブリック IP アドレスで、内部 Web サーバーへの HTTPS ポート転送を設定している場合は、「管理 > 管理の設定」に移動し、「管理コンソールの HTTPS ポート」および「ユーザーポータル HTTPS ポート」に未使用のポートを指定してください。または、 Web サーバーに別のポートを指定します。

ループバックルール

宛先 NAT ルールからループバックルールを作成して、内部ホストが外部 IP アドレスまたはドメイン名を介して他の内部ホストと通信できるようにすることができます。たとえば、受信トラフィックをサーバーに変換する宛先 NAT ルールを作成し、ループバックルールを作成します。

ループバックルールを作成するには、次の宛先 NAT ルール条件を指定します。

  • 変換前の送信元: 任意
  • 変換後の送信元: 変換前
  • 変換後の宛先: 「変換前」には指定しないでください。

再帰ルール

宛先 NAT ルールのミラー NAT ルールを作成できます。宛先ルールの一致基準が逆になります。たとえば、受信トラフィックを内部サーバーに変換する宛先 NAT ルールを作成します。対応する再帰ルールは、サーバーから宛先 NAT ルールで指定された送信元へのトラフィックを許可します。

元の宛先が IP アドレスでない場合、または変換された場合、変換された送信元はマスカレードされます。

リンク NAT ルール

ファイアウォールルールを作成するときに、リンク NAT ルールを作成できます。これは SNAT ルールであり、NAT ルールテーブルに表示されます。

ファイアウォールルールのすべての条件 (ユーザーとスケジュールを含む) が、リンク NAT ルールに適用されます。NAT ルールでこれらの設定を編集することはできません。リンク NAT ルールでは、変換後の送信元 (インターフェース固有の変換後の送信元を含む) だけを指定できます。

リンク NAT ルールは、リンク先のファイアウォールルールに一致するトラフィックのみに適用されます。ただし、リンク NAT ルールの上にあるルールに一致した場合は、その最初のルールの設定が適用されます。

ヒント

トラフィックが汎用 NAT ルールに一致する場合は、新しいリンク NAT ルールを作成しないことを推奨します。NAT ルールは、ファイアウォールルールと同じ数だけ必要なわけではありません。設定を簡素化するため、NAT ルールは別途作成するようにしてください。たとえば、単純な環境で送信トラフィックをマスカレードするためには、SNAT ルール 1つで済む場合があります。ファイアウォールルールごとに SNAT ルールを作成する必要はありません。

移行された NAT 設定

17.5 から SFOS 18.0 以降に移行する場合、ファイアウォールルールの NAT 設定は NAT ルールとして移行され、NAT ルールテーブルに表示されます。ゲートウェイベースの NAT 設定を定義することはできません。

送信元 NAT の設定は、リンク NAT ルールとして移行されます。このルールは、元のファイアウォールルールに関連付けられています。これらは、NAT ルールテーブルのファイアウォールルール ID と名前で識別できます。

宛先 NAT 設定は独立した NAT ルールとして移行され、ファイアウォールルールにリンクされません。

移行前のルール 移行後のルール
ユーザー/ネットワークのルール 移行前の基準に基づく送信元または宛先 NAT ルール。
メールクライアント 送信元 NAT ルール。
DNAT/フル NAT/負荷分散 ファイアウォールルールに関連付けられた宛先 NAT ルール
メールサーバー 宛先 NAT ルール。

NAT 設定は次のように移行されます。

送信元 NAT (SNAT) ルール:

  • マスカレードされ、変換された送信元アドレスは、そのまま移行されます。
  • ルールがゲートウェイ固有の NAT で設定されていない場合、変換された宛先は「MASQ」に設定されます。
  • デフォルトの送信元 NAT ルールは、ブリッジメンバーであるパブリックインターフェース用には作成されません。

ゲートウェイ固有の NAT ポリシーおよびメールクライアント (ビジネスアプリケーション) ルールを使用するユーザーネットワーク ルール: これらは、ファイアウォールルールおよびリンクされた (送信元) NAT ルールとして移行されます。移行された NAT ルールには、次の設定があります。

  • 受信および送信インターフェースは「任意」に設定されます。
  • 変換先が「変換前」に設定されています。
  • 固有のアウトバウンドインターフェースに対する送信元変換をオーバーライド」は、移行された NAT ルールで選択されています。

送信インターフェースの変換元は、次の移行前の設定に基づいて設定されます。

移行前のゲートウェイとインターフェースの関係 移行後にソースを変換しました
ゲートウェイにインターフェースが接続されていない 移行されません。
指定されたゲートウェイに接続されているインターフェースは、別のゲートウェイに接続されていない ゲートウェイの NAT ポリシーホスト。
指定されたゲートウェイに接続されているインターフェースは、デフォルトゲートウェイにも接続されている
  • デフォルトゲートウェイの NAT ポリシーホスト。
  • 他のゲートウェイの場合は「変換前」。
指定されたゲートウェイに接続されているインターフェースは、デフォルトゲートウェイではなく、他のゲートウェイに接続されている
  • 最初のゲートウェイの NAT ポリシーホスト。
  • 他のゲートウェイの場合は「変換前」。
ゲートウェイ固有のデフォルト NAT ポリシーを上書き」が選択されていた 指定されたゲートウェイの NAT ポリシーホスト (デフォルト NAT ポリシーホストではない)。

宛先 NAT ルール: 宛先 NAT (ビジネスアプリケーション) ルールを移行すると、対応する移行された NAT ルールには、送信元ゾーンに基づいて受信インターフェースが一覧表示されます。次のようになります。

  • 宛先 NAT ルールで指定された送信元ゾーンに属するインターフェース。

  • ブリッジインターフェース (送信元ゾーンに属している場合)。

  • 送信元ゾーンに属するインターフェースがない場合は、デフォルト選択の「任意」。

送信元 NAT ルールを使用する宛先 NAT ルール: DNAT ルールは、独立したファイアウォールおよび NAT ルールとして移行されます。再帰ルールが選択されている場合は、ファイアウォールルールおよびリンクされた NAT ルールとして移行されます。

メールサーバー (ビジネスアプリケーション) ルール: これらの移行は、DNAT ルール移行の原則に従います。その他の移行設定は次のとおりです。

メールサーバールール 移行された設定
ユーザーとグループ ファイアウォールルールに移行。
許可されたクライアントネットワーク 送信元ネットワークとデバイスファイアウォールルール。
ブロックされたクライアントネットワーク 送信元ネットワークとデバイスファイアウォールルールでの除外。
保護されたゾーン 宛先ゾーンは、ファイアウォールルールで「任意」に設定されます。
再帰ルールにある保護されたゾーン 送信元ゾーンファイアウォールルール。
保護されたサーバー 宛先 NAT ルールにある、変換後の宛先 (DNAT)。
再帰ルールにある保護されたサーバー 送信元ネットワークとデバイスファイアウォールルール。

ルールテーブル内のリンクされた NAT ルールのクリーンアップ

送信元 NAT の設定は、リンク NAT ルールとして移行されます。このルールは、元のファイアウォールルールに関連付けられています。

SFOS 18.0 以降に移行すると、NAT ルールテーブルに多数のリンク NAT (送信元 NAT) ルールが作成される場合があります。これらは、NAT 設定が設定されていないファイアウォールルールにリンクされているか、ユーザーおよび移行前のスケジュールに基づいて NAT が実装されています。

移行後の動作の変更を防ぐため、これらのルールは自動的に消去されません。ただし、削除することはできます。これらは、次の基準でリンクされた NAT ルールです。

  • 変換後の送信元は、「MASQ」に設定されました。
  • 宛先ゾーンが「WAN」のみに設定されているファイアウォールルールにリンクされています。

ルールテーブルの下部に、変換後の送信元が「MASQ」に設定された、デフォルトの送信元 NAT ルール (「デフォルトの SNAT IPv4」または「デフォルトの SNAT IPv6」) が追加されました。このルールはデフォルトでオフになっています。このルールを再配置して、削除されたルールを置き換えてオンにすることができます。

NAT ルールテーブルでは、ルールフィルタリングメニューの下のボックスに、これらのリンクされた NAT ルールの次のオプションが表示されます。

  • 了解しました。ルールを削除しない: ルールを削除しません。ボックスを再度表示しません。
  • リンク NAT ルールを削除する (MASQ のみ、宛先: WAN): 変換された送信元が「MASQ」に設定され、宛先ゾーンが「WAN」のみに設定されているファイアウォールルールにリンクされている、リンク NAT ルールを削除します。
  • 右上の [X] ボタンを選択して、ボックスを一時的に非表示にします。後でページを開くと、ボックスが再表示されます。

その他のリソース