コンテンツにスキップ
Sophos XG シリーズのハードウェアアプライアンスは、2025年 3月 31日にサポート終了 (EOL) となります。XG から XGS への移行に関しては、こちらをクリックしてください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/ja-jp/webhelp/onlinehelp/index.html?contextId=rules-policies-NAT-traffic-processing

NAT 構成の処理方法

ファイアウォールルールによって、ネットワークで送受信するトラフィックを許可または破棄できます。NAT ルールは、ファイアウォールルールで許可されているトラフィックの IP アドレスを変換します。そのため、NAT ルールを作成した場合でも、ファイアウォールルールを作成する必要があります。

NAT およびファイアウォールルール

トラフィックがどのファイアウォールルールにも一致しない場合、トラフィックは破棄され、ログにイベントが記録されます。トラフィックがどの NAT ルールにも一致しない場合、トラフィックは通過できますが、IP アドレスは変換されません。

NAT ルールの場合、一致基準は、元の (NAT 前の) 送信元、宛先、サービス、および受信および送信インターフェースです。

NAT ルールおよびファイアウォールルールは、以下の順番で照合・適用されます。

  • 送信トラフィック: 最初にファイアウォールルールが適用され、次に SNAT ルールが適用されます。

  • 受信トラフィック: 最初に DNAT ルールと照合し、宛先を変換します。その後に、ファイアウォールルールと照合し、送信元および宛先ゾーン、送信元および宛先ネットワーク、サービス、スケジュールが一致しているかどうかを調べます。なお、宛先ゾーンは、変換後の宛先が属するゾーンとなります。

    WAN または LAN ゾーンから DMZ 内の Web サーバーに送信されるトラフィックの場合、DNAT ルールを作成して、パブリック IP アドレス (変換前の宛先) を Web サーバーの IP アドレス (変換後の宛先) に変換できます。

    Sophos Firewall で、パケットを受信すると、DNAT ルールと照合され、指定した変換後の宛先が属するゾーンが識別されます。この例では、DMZ が宛先ゾーンであることがわかります。

    したがって、このトラフィックに一致するファイアウォールルールを作成するには、宛先ゾーンを DMZ に設定する必要があります。

    DNAT ルールとそれに対応するファイアウォールルールを作成する例については、内部サーバー用の DNAT ルールとファイアウォールルールの作成を参照してください。