コンテンツにスキップ
Sophos XG シリーズのハードウェアアプライアンスは、2025年 3月 31日にサポート終了 (EOL) となります。XG から XGS への移行に関しては、こちらをクリックしてください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/ja-jp/webhelp/onlinehelp/index.html?contextId=rules-policies-NAT-configurations

NAT 設定

ファイアウォールには、さまざまな種類のトラフィックを変換するための NAT ルール、CLI 設定、および IPsec NAT 設定が用意されています。

NAT ルールは、転送されたトラフィックを変換します。システム生成トラフィックとインターフェースアドレスを変換するには、CLI を使用する必要があります。サイト間 IPsec VPN のローカルサブネットとリモートサブネットを変換するには、IPsec 構成で NAT 設定を使用する必要があります。

転送トラフィック

転送されたトラフィックは、ファイアウォールを通過するトラフィックです。

NAT ルール

送信元 NAT (SNAT) および宛先 NAT (DNAT) ルールを作成して、ルーティング不可能なプライベート IP アドレスをルーティング可能なパブリック IP アドレスに変換することで、プライベートネットワークとパブリックネットワーク間のトラフィックフローを可能にします。IPv4 および IPv6 ネットワーク用の NAT ルールを作成できます。

DNAT ルールのループバックルールと再帰ルールを指定できます。これらのルールは、作成元のルールとは関係ありません。元の NAT ルールを変更または削除しても、変更や削除には影響しません。

リンクされた NAT ルールは SNAT ルールであり、ファイアウォールルールから作成されます。Sophos Firewall は、メール MTA モードのトラフィックを照合するために、リンクされた NAT ルールを自動的に追加します。

詳細は、NAT ルールの種類を参照してください。

サブネットが重複するサイト間 IPsec トンネル

サイト間 IPsec トンネルのいずれかの終端で、ネットワーク内の重複するローカルサブネット間のトラフィックフローを許可するには、「サイト間 VPN」 > 「IPsec」 > 「IPsec 接続」で NAT 設定を構成する必要があります。IPsec トンネルのルーティングと NAT を参照してください。

この要件は、ポリシーベースのトンネルに適用されます。ローカルサブネットとリモートサブネットを選択した場合は、ルートベースの VPN トンネルに適用されます。

ローカルサブネットとリモートサブネットを「すべて」で構成した場合に、ルートベースの IPsec VPN トンネルを通過する転送されたトラフィックを変換するには、NAT ルールを使用する必要があります。

システム生成トラフィックおよびインターフェースアドレス

CLI を使用して、システム生成トラフィックの送信元 IP アドレスを変換できます。そのため、DHCP や認証などのファイアウォールサービス用に、ファイアウォールから発信されるトラフィックを変換できます。デフォルトでは、システム生成トラフィックは WAN リンクロードバランシングを使用します。

コマンドを使用して、ファイアウォールのインターフェースアドレスなどの送信元アドレスを変換することもできます。

構成例については、システム生成トラフィックおよびインターフェースの NAT を参照してください。

ファイアウォールは、CLI のリストにある NAT 構成の順序でトラフィックを照合します。次のコマンドを使用すると、これらの NAT 構成を表示できます。

show advanced-firewall

ユースケース

CLI を使用したソース変換の使用例をいくつか次に示します。

  • VPN トンネル:DHCP や認証要求などのシステム生成トラフィックを、サイト間 IPsec トンネル経由で送信します。

  • 複数の WAN リンク:ファイアウォール内の WAN インターフェースよりも WAN リンクが多い場合は、WAN リンクのエイリアス IP アドレスを構成できます。その後、物理インターフェースを対応するエイリアスアドレスに変換できます。

    ルーティング構成では、常にメインインターフェースが使用されます。エイリアスを送信元 IP アドレスとして使用するには、インターフェースアドレスをエイリアスアドレスに変換する必要があります。

  • メールフロー:メールトラフィックを、アップストリームリレーに必要なエイリアス IP アドレスに変換するか、MX レコードのアドレスと照合します。

  • プライベート IP アドレス:

    • 宛先 WAN: LAN インターフェースからの DHCP 要求など、内部 IP アドレスをプライベートに保つことができます。
    • 内部宛先:特定のトラフィックに特定の送信元 IP アドレスが設定されていることを確認します (MPLS ネットワークなど)。

  • サーバーアクセス:特定の Web サーバーにアクセスするには、特定の送信元 IP アドレスを使用します。