NAT ルールの追加
NAT ルールを作成して、ネットワーク間 (通常は信頼ネットワークと非信頼ネットワークの間) で流れるトラフィックの IP アドレスとポートを変更できます。
指定された送信元アドレスから発信されるトラフィックには送信元 NAT ルールを、指定された宛先アドレスへのトラフィックには宛先 NAT ルールを指定できます。ループバックポリシーを指定して、内部送信元から内部サーバーへのトラフィックを変換することもできます。
送信元 NAT (SNAT) ルールを作成するには、変換前および変換後の送信元と、受信インターフェース、送信インターフェースを指定します。
宛先 NAT (DNAT) ルールを作成するには、変換前および変換後の宛先およびサービスと、受信インターフェース、送信インターフェースを指定します。DNAT ルールを使って、内部サーバーで負荷分散およびフェールオーバーを実行できます。サーバーが使用可能かどうかをファイアウォールで判断できるようにするには、「セキュリティ状態のチェック」の設定を指定する必要があります。
- 「ルールとポリシー > NAT ルール」に移動し、「IPv4」または「IPv6」を選択して、「NAT ルールの追加」をクリックします。
ルールはデフォルトでオンになっています。 -
ルールの詳細を入力します。
名前 説明 ルール名 名前を入力します。 ルールグループ ルールグループを選択するか、作成します。ファイアウォールルールはこのグループに属します。
「自動」を選択すると、ルールの種類、送信元ゾーン、宛先ソーンが一致する最初の既存のグループに、ルールが追加されます。 -
送信元、宛先、サービス、およびインターフェースの変換設定を指定して、インターフェースおよび VPN トンネルを通過するトラフィックを照合します。
変換前の送信元、宛先、およびサービスは、Sophos Firewall に入る際のトラフィックの NAT 前のエンティティです。変換された送信元、宛先、およびサービスは、Sophos Firewall を出る際のトラフィックの NAT 後のエンティティです。元の送信元、宛先、およびサービスを選択するか、新しい送信元、宛先、およびサービスを作成できます。名前 説明 変換前の送信元 発信トラフィックの NAT 前の送信元オブジェクトを指定します。受信 IP アドレスが不明な場合に受信 NAT ルールを作成するには、「任意」を選択します。 変換後の送信元 (SNAT) 元の送信元オブジェクトの IP アドレスは、指定した IP アドレスに変換されます。送信トラフィックに送信元 NAT (SNAT) を適用するには、このオプションを使用します。
トラフィックをマスカレードするには、「MASQ」を選択します。「MASQ」を選択すると、デフォルトで、元の IP アドレスが送信用 IP アドレスに変換されます。ただし、ルートベースの VPN の設定時に、ローカルサブネットおよびリモートサブネットを「任意」、または「IP バージョン」を「デュアル」にした場合は、SNAT で「MASQ」が設定されていると、元の送信元は XFRM の IP アドレスに変換されます。
受信トラフィック用の NAT ルールを作成する場合は、「変換前」を選択します。
変換前の宛先 着信トラフィックの NAT 前宛先オブジェクトを指定します。送信 NAT ルールを作成するには、「任意」を選択します。 変換後の宛先 (DNAT) 宛先オブジェクトの IP アドレスは、指定した IP アドレスまたは FQDN に変換されます。送信 NAT ルールを作成するには、「変換前」を選択します。 変換前のサービス NAT 前サービスを指定します。サービスは、プロトコルとポートの組み合わせです。送信 NAT ルールを作成するには、通常これは「任意」に設定されます。 変換されたサービス (PAT) 変換前のサービスは、指定したサービスに変換されます。これをポートアドレス変換 (PAT) に使用してください。複数の変換前のサービスを指定した場合、または「任意」に設定した場合は、変換後のサービスを「変換前」に設定してください。
変換されたプロトコルは、元のプロトコルと一致する必要があります。元のサービスポートを、変換されたサービスポートの数と同じか、または同じ数に変換できます。
これを使用して、トラフィックを内部サーバーにポート転送できます。たとえば、受信 HTTPS トラフィックを内部 Web サーバーに転送するには、TCP ポート 443 を指定します。受信インターフェース このルールで指定されたトラフィックが Sophos Firewall に入る際のインターフェースを選択します。
宛先 NAT の場合は、「任意」を指定できます。
VPN はインターフェースではないため、VPN の場合は、このインターフェースを「任意」に指定します。送信インターフェース このルールで指定されたトラフィックが Sophos Firewall を出る際のインターフェースを選択します。
VPN の場合、およびパブリック IP アドレスをプライベート IP アドレスに変換する宛先 NAT ルールの場合は、このインターフェースを「任意」に指定します。 -
インターフェース固有の送信元変換を適用するには、「固有のアウトバウンドインターフェースに対する送信元変換をオーバーライド」を選択します。このオプションは、送信元 NAT ルールのみに適用されます。
- 「アウトバウンドインターフェース」および「変換後の送信元 (SNAT)」のオプションを選択します。複数指定するには、「展開」 を選択します。
- 内部ホストが他の内部ホスト (サーバーなど) にアクセスできるようにするには、「ループバックルールの作成」を選択します。
-
作成元のルールの一致基準を逆にするミラールールを作成するには、「再帰ルールの作成」を選択します。
注
宛先 NAT ルールのループバックルールと再帰ルールを作成できます。元の NAT ルール ID と名前を使用して作成されます。元の NAT ルール設定を後で変更しても、ループバックおよび再帰ルール設定は変更されません。
-
内部ホスト (変換後の宛先) にリクエストを送信する際の「負荷分散の方法」として、以下のいずれかを選択します。
- ラウンドロビン: リクエストを各サーバーに順番に送信します。
- ファーストアライブ: 最初の使用可能なサーバーにリクエストを送信します。
- ランダム: サーバーをランダムに選択して、リクエストを送信します。
- IP の維持: 送信元および変換前の宛先 IP アドレスのハッシュに基づいて、リクエストをサーバーに送信します。送信元と宛先をマッピングすることにより、常に同じサーバーにリクエストを送信し、セッションを持続することができます。
- 1 対 1: 変換前と変換後の宛先 IP アドレスをリスト順に 1 対 1 でマッピングし、このマッピングに従ってサーバーにリクエストを送信します。このルールを保存するには、変換前と変換後の宛先 IP アドレスの数を同じにしてください。
詳細は、負荷分散とフェールオーバーを参照してください。
注
サーバーが使用可能かどうかをファイアウォールで判断できるようにするには、「セキュリティ状態のチェック」を選択し、設定を指定する必要があります。
選択しない場合、使用不可能なサーバーも含め、すべてのサーバーが使用可能であると見なされるため、パケットの破棄につながります。
-
「セキュリティ状態のチェック」を選択し、稼働中のサーバーのみにリクエストを送信し、フェールオーバーを適用します。プローブ間隔、応答タイムアウト、およびホストを非アクティブにするまでの再試行回数を指定します。
「ファーストアライブ」NAT 方式では、セキュリティ状態のチェックがデフォルトで適用されます。
- プローブの方法を選択します。ICMP (ping) または TCP プロトコルを選択できます。
- 確認するポートを入力します。
- プローブの間隔を指定します。セキュリティ状態のチェックの間隔です。
- 応答のタイムアウトを指定します。サーバーは、この時間内に応答しないと動作していないと見なされません。
- 「ホストを無効にする条件:」には、再試行回数を指定します。
- 「保存」をクリックします。
その他のリソース