コンテンツにスキップ
Sophos XG シリーズのハードウェアアプライアンスは、2025年 3月 31日にサポート終了 (EOL) となります。XG から XGS への移行に関しては、こちらをクリックしてください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/nsg/sophos-firewall/21.0/Help/ja-jp/webhelp/onlinehelp/index.html?contextId=rules-policies-NAT-add-assistant

サーバーアクセスアシスタントを使用した DNAT ルールの追加

サーバーアクセスアシスタントを使用すると、内部サーバーへの受信トラフィックの宛先 NAT (DNAT) ルールを作成できます。

DNAT ルールは、(Web、メール、SSH、その他のサーバーやリモートデスクトップなどの) サーバー用に受信トラフィックを変換します。アシスタントによって、次のルールが自動的に作成されます。

  • インバウンド NAT ルール: WAN ゾーンから内部サーバーにトラフィックを変換する DNAT ルールです。
  • ループバック NAT ルール: 内部ユーザーからサーバーにトラフィックを変換する DNAT ルールです。
  • アウトバウンド NAT ルール: サーバーからの発信トラフィックを変換する SNAT ルールです。これは、NATルール設定では再帰ルールと呼ばれます。
  • ファイアウォールのルール: サーバーへのインバウンドトラフィックを許可します。

特定の設定が必要な場合には、後でこれらのルールを編集します。

制限事項

同じ DNS ホストのエントリに対して、DNAT ルールと重み付け負荷分散を両方設定することはできません。

サーバーアクセスアシスタントを使用する

  1. 以下のいずれかの方法で、サーバーアクセスアシスタントを選択します。

    • ルールとポリシー > NAT ルール」に移動し、「IPv4」または「IPv6」を選択して、「NAT ルールの追加」をクリックします。「サーバーアクセスアシスタント (DNAT)」を選択します。
    • ルールとポリシー > ファイアウォールルール」に移動し、「IPv4」または「IPv6」を選択して、「ファイアウォールルールの追加」をクリックします。「サーバーアクセスアシスタント (DNAT)」を選択します。

  2. 設定を指定します。

    • ルールとポリシー > NAT ルール」に移動し、「IPv4」または「IPv6」を選択して、「NAT ルールの追加」をクリックします。
    • ルールとポリシー > ファイアウォールルール」に移動し、「IPv4」または「IPv6」を選択して、「ファイアウォールルールの追加」をクリックします。

  3. サーバーアクセスアシスタント (DNAT)」を選択します。

  4. 内部サーバー IP アドレス」に、ユーザーがアクセスする内部サーバーを指定します。以下のいずれかの方法を使用してください。

    • サーバーの IP ホストを選択します。
    • サーバーに割り当てる IP アドレスを入力します。

    ユーザーが内部サーバーに到達できるインターフェースがチェックされ、そのインターフェースのゾーンが宛先ゾーンとして設定されます。ファイアウォールルールでは、これを宛先ゾーンとして使用してトラフィックの一致判定を行います。

  5. パブリック IP アドレス」には、次のいずれかのオプションを使用します。

    • パブリック IP アドレスの WAN インターフェイスまたは IP ホストを選択します。
    • ネットワークのパブリック IP アドレスを入力します。

    ループバック DNAT ルールを自動的に作成するには、パブリック IP アドレスではなくファイアウォールインターフェイスを選択します。

  6. サービス」で、内部サーバーのサービス (ポートとプロトコルの組み合わせ) を選択します。

  7. 外部の送信元ネットワークとデバイス」に、ユーザーが内部サーバーにアクセスできる送信元ネットワークとデバイスを選択します。

    内部ユーザーがサーバーにアクセスできるようにするには、「任意」を選択します。この設定は、ファイアウォールがループバック DNAT ルールを作成するために必要です。

  8. 設定とルールを確認し、「保存して完了する」をクリックします。

    アシスタントは、NAT ルールテーブルとファイアウォールルールテーブルの上部にルールを追加し、デフォルトでオンにします。

    再帰ルール名とループバックルール名には、作成した DNAT ルールの名前とルール ID が含まれます。ファイアウォールルール名には、DNAT ルール名が含まれます。

  9. 要件を満たすように、対応するルールテーブルで NAT ルールとファイアウォールルールの位置を変更します。

    ファイアウォールは、トラフィックに一致するルールが見つかるまで、表示されている順序でルールを上から評価します。

ループバックルール

ファイアウォールは、次のオプションを選択した場合にのみ、内部トラフィックをサーバーに変換するループバック DNAT ルールを作成します。

  • パブリック IP アドレス」を「WAN インターフェース」に設定します。パブリック IP アドレスを使用する場合、トラフィックは任意のインターフェースを介してファイアウォールに入り、DNAT ルールのインバウンドインターフェースは「任意」に設定されます。ループバックルールが自動的に作成された場合は、同じインバウンドインターフェース設定になります。
  • 外部送信元ネットワークとデバイス」を「任意」に設定します。WAN ゾーンと内部ゾーン内のネットワークがこれに含まれます。

DNAT ルールとループバックルールには同じトラフィック一致設定が適用され、ファイアウォールは最初にトラフィックと一致するルールを適用します。

サーバーアクセスアシスタントルールと手動 DNAT ルール

アシスタントが作成するルールは編集し、特定の設定を手動で選択することができます。サーバーアクセスアシスタントで作成したルールを手動で編集する必要がある場合の例を以下に示します。

  • ファイアウォールは、アシスタントで設定した「送信元ネットワーク」と「サービス」は変換しません。「変換後の送信元」と「変換後のサービス」をOriginalに設定します。
  • 変換前の宛先」をエイリアス IP アドレスに設定すると、ファイアウォールはその物理インターフェイスを SNAT ルールおよびループバックルールで「変換後の送信元」として設定します。代わりにエイリアスアドレスを使用するには、エイリアスの IP ホストを作成し、 「変換後の送信元」として手動でそれを設定してください。

作成した NAT ルールの設定を変更した場合は、必要なファイアウォールルール設定を更新してください。

設定とオプションの比較

アシスタントを使用すると、すばやく簡単な構成が作成できます。DNAT ルールには、より多くのオプションが用意されており、より複雑な設定を指定できます。

次の表に、アシスタントの対応する手動設定を示します。

サーバーアクセスアシスタント

DNAT ルール

(手動作成)

内部サーバー IP アドレス

単一の IP アドレスまたは IP ホストです。

変換後の宛先

IP アドレス、IP 範囲、IP リスト、またはネットワークです。

パブリック IP アドレス

単一の IP アドレス、IP ホスト、または任意のインターフェイスです。

変換前の宛先

任意のインターフェースまたはホスト (IP アドレス、IP リスト、IP 範囲、ネットワーク、国、 FQDN、MAC アドレス、または MAC リスト) です。

サービス

共通サービスとカスタムサービスです。事前にカスタムサービスを作成する必要があります。

ポート変換を設定するには、後でルールを編集し、「変換後のサービス」の下でサービスを選択します。

変換前のサービス

共通サービスとカスタムサービスです。ここでカスタムサービスを作成します。

外部の送信元ネットワークとデバイス

任意のホストです。

変換前のソース

システムホストを含む任意のホストです。

その他のリソース