- このマニュアルについて
- サービス ポリシーとアクセス コントロール
- サービス ポリシー
- アプリケーション インスペクションの特別なアクション(インスペクション ポリシー マップ)
- アクセス ルール
- 公開サーバ
- ネットワーク アドレス変換
- ネットワーク アドレス変換(NAT)(ASA 8.3 以降)
- ネットワーク オブジェクト NAT(ASA 8.3 以降)
- Twice NAT(ASA 8.3 以降)
- アプリケーション インスペクション
- アプリケーション レイヤ プロトコル インスペクションの準備
- 基本インターネット プロトコルのインスペクション
- 音声とビデオのプロトコルのインスペクション
- データベースおよびディレクトリ プロトコルのインスペクション
- 管理アプリケーション プロトコルのインスペクション
- 接続設定と QoS
- 接続設定
- QoS
- 接続のトラブルシューティングおよびリソース
- 高度なネットワーク保護
- ASA および Cisco クラウド Web セキュリティ
- 脅威検出
- ASA モジュール
- ASA FirePOWER(SFR)モジュール
- ASA CX モジュール
- ASA IPS モジュール
Cisco ASA シリーズファイアウォール ASDM コンフィギュレーションガイドソフトウェアバージョン 7.3
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月9日
章のタイトル: Twice NAT(ASA 8.3 以降)
Twice NAT(ASA 8.3 以降)
Twice NAT では、1 つのルールで送信元アドレスおよび宛先アドレスの両方を識別できます。この章では、Twice NAT を設定する方法について説明します。
(注) NAT の機能の詳細については、「ネットワーク アドレス変換(NAT)(ASA 8.3 以降)」を参照してください。
Twice NAT に関する情報
Twice NAT では、1 つのルールで送信元アドレスおよび宛先アドレスの両方を識別できます。送信元アドレスと宛先アドレスの両方を指定すると、たとえば送信元アドレスが宛先 X に向かう場合は A に変換され、宛先 Y に向かう場合は B に変換されるように指定できます。
(注) スタティック NAT の場合、ルールは双方向であるため、たとえば、特定の接続が「宛先」アドレスから発生する場合でも、このガイドを通じてのコマンドおよび説明では「送信元」および「宛先」が使用されていることに注意してください。たとえば、ポート アドレス変換を使用するスタティック NAT を設定し、送信元アドレスを Telnet サーバとして指定する場合に、Telnet サーバに向かうすべてのトラフィックのポートを 2323 から 23 に変換するには、このコマンドで、変換する送信元ポート(実際:23、マッピング:2323)を指定する必要があります。Telnet サーバ アドレスを送信元アドレスとして指定しているため、その送信元ポートを指定します。
宛先アドレスはオプションです。宛先アドレスを指定する場合、宛先アドレスを自身にマッピングするか(アイデンティティ NAT)、別のアドレスにマッピングできます。宛先マッピングは、常にスタティック マッピングです。
Twice NAT では、ポート変換を設定したスタティック NAT のサービス オブジェクトも使用できます。ネットワーク オブジェクト NAT は、インライン定義だけを受け入れます。
Twice NAT とネットワーク オブジェクト NAT の違いの詳細については、「NAT の実装方法」を参照してください。
Twice NAT ルールは、NAT ルール テーブルのセクション 1 に追加されます。指定した場合には、セクション 3 に追加されます。NAT の順序付けの詳細については、「NAT ルールの順序」を参照してください。
Twice NAT のライセンス要件
|
|
|
|---|---|
Twice NAT の前提条件
•
実際のアドレスとマッピング アドレスの両方について、ネットワーク オブジェクトまたはネットワーク オブジェクト グループを設定します。ネットワーク オブジェクト グループは、非連続的な IP アドレスの範囲または複数のホストやサブネットで構成されるマッピング アドレスを作成する場合に特に便利です。ネットワーク オブジェクトまたはグループを作成するには、『一般的な操作のコンフィギュレーション ガイド』を参照してください。
• ポート変換を設定したスタティック NAT の場合、TCP または UDP サービス オブジェクトを設定します。サービス オブジェクトを作成するには、『一般的な操作のコンフィギュレーション ガイド』を参照してください。
オブジェクトおよびグループに関する特定のガイドラインについては、設定する NAT タイプの設定の項を参照してください。「ガイドラインと制限事項」も参照してください。
ガイドラインと制限事項
この項では、この機能のガイドラインと制限事項について説明します。
シングル コンテキスト モードとマルチ コンテキスト モードでサポートされています。
• ルーテッド ファイアウォール モードとトランスペアレント ファイアウォール モードでサポートされています。
• トランスペアレント モードでは、実際のインターフェイスおよびマッピング インターフェイスを指定する必要があります。--Any-- は使用できません。
• トランスペアレント モードでは、インターフェイス PAT を設定できません。トランスペアレント モードのインターフェイスには、IP アドレスが設定されていないためです。管理 IP アドレスもマッピング アドレスとして使用できません。
• トランスペアレント モードでは、IPv4 ネットワークと IPv6 ネットワークとの間の変換はサポートされていません。2 つの IPv6 ネットワーク間、または 2 つの IPv4 ネットワーク間の変換がサポートされます。
• ルーテッド モードの場合は、IPv4 と IPv6 との間の変換もできます。
• トランスペアレント モードの場合は、IPv4 ネットワークと IPv6 ネットワークとの間の変換はサポートされていません。2 つの IPv6 ネットワーク間、または 2 つの IPv4 ネットワーク間の変換がサポートされます。
• トランスペアレント モードの場合は、PAT プールは IPv6 に対してはサポートされません。
• スタティック NAT の場合は、/64 までの IPv6 サブネットを指定できます。これよりも大きいサブネットはサポートされません。
• FTP を NAT46 とともに使用する場合は、IPv4 FTP クライアントが IPv6 FTP サーバに接続するときに、クライアントは拡張パッシブ モード(EPSV)または拡張ポート モード(EPRT)を使用する必要があります。PASV コマンドおよび PORT コマンドは IPv6 ではサポートされません。
• 送信元 IP アドレスがサブネット(またはセカンダリ接続を使用するその他のアプリケーション)の場合、FTP 宛先ポート変換を設定できません。FTP データ チャネルの確立に失敗します。
• NAT コンフィギュレーションを変更したときに、既存の変換がタイムアウトするまで待機せずに新しい NAT 情報を使用する必要がある場合は、 clear xlate コマンドを使用して変換テーブルを消去できます。ただし、変換テーブルを消去すると、変換を使用している現在の接続がすべて切断されます。
(注) ダイナミック NAT または PAT ルールを削除し、次に削除したルールに含まれるアドレスと重複するマッピング アドレスを含む新しいルールを追加すると、新しいルールは、削除されたルールに関連付けられたすべての接続がタイムアウトするか、clear xlate コマンドを使用してクリアされるまで使用されません。この予防手段のおかげで、同じアドレスが複数のホストに割り当てられないようにできます。
• 1 つのオブジェクト グループに IPv4 と IPv6 の両方のアドレスを入れることはできません。オブジェクト グループには、1 つのタイプのアドレスだけが含まれている必要があります。
• NAT ルールで any キーワードを使用する場合、「any」トラフィック(IPv4 と IPv6)は、ルールによって異なります。ASA がパケットに対して NAT を実行する前に、パケットが IPv6-to-IPv6 または IPv4-to-IPv4 である必要があります。この前提条件では、ASA は、NAT ルールの any の値を決定できます。たとえば、「any」から IPv6 サーバへのルールを設定しており、このサーバが IPv4 アドレスからマッピングされている場合、 any は「任意の IPv6 トラフィック」を意味します。「any」から「any」へのルールを設定しており、送信元をインターフェイス IPv4 アドレスにマッピングする場合、マッピングされたインターフェイス アドレスによって宛先も IPv4 であることが示されるため、 any は「任意の IPv4 トラフィック」を意味します。
• NAT で使用されるオブジェクトおよびオブジェクト グループを未定義にすることはできません。IP アドレスを含める必要があります。
• マッピング IP アドレス プールは、次のアドレスを含むことができません。
– マッピング インターフェイスの IP アドレス。ルールに --Any-- インターフェイスを指定すると、すべてのインターフェイスの IP アドレスが拒否されます。インターフェイス PAT(ルーテッド モードのみ)の場合、IP アドレスの代わりにインターフェイス名を使用します。
– (ダイナミック NAT)VPN がイネーブルの場合は、スタンバイ インターフェイスの IP アドレス。
• スタティックおよびダイナミック NAT ポリシーでは重複アドレスを使用しないでください。たとえば、重複アドレスを使用すると、PPTP のセカンダリ接続がダイナミック xlate ではなくスタティックにヒットした場合、PPTP 接続の確立に失敗する可能性があります。
• NAT のトランザクション コミット モデルを使用することで、システムのパフォーマンスと信頼性を高めることができます。詳細については、『一般的な操作のコンフィギュレーション ガイド』の基本設定の章を参照してください。このオプションは、[Configurations] > [Device Management] > [Advanced] > [Rule Engine] にあります。
デフォルト設定
• デフォルトでは、NAT テーブルのセクション 1 の最後にルールが追加されます。
• (ルーテッド モード)デフォルトの実際のインターフェイスおよびマッピング インターフェイスは Any で、すべてのインターフェイスにルールが適用されます。
• (8.3(1)、8.3(2)、8.4(1))アイデンティティ NAT のデフォルト動作で、プロキシ ARP はディセーブルにされます。これは設定できません。(8.4(2) 以降)アイデンティティ NAT のデフォルト動作で、プロキシ ARP はイネーブルにされ、他のスタティック NAT ルールと一致します。必要に応じてプロキシ ARP をディセーブルにできます。
• オプションのインターフェイスを指定する場合、ASA によって NAT コンフィギュレーションが使用されて、出力インターフェイスが決定されます。(8.3(1) ~ 8.4(1))唯一の例外はアイデンティティ NAT です。アイデンティティ NAT では、NAT コンフィギュレーションに関係なく、常にルート ルックアップが使用されます。(8.4(2) 以降)アイデンティティ NAT の場合、デフォルト動作は NAT コンフィギュレーションの使用ですが、代わりにルート ルックアップを常に使用するオプションがあります。
Twice NAT の設定
この項では、Twice NAT の設定方法について説明します。
• 「ダイナミック NAT または PAT プールを使用したダイナミック PAT の設定」
• 「スタティック NAT またはポート変換を設定したスタティック NAT の設定」
ダイナミック NAT または PAT プールを使用したダイナミック PAT の設定
この項では、ダイナミック NAT または PAT プールを使用するダイナミック PAT の Twice NAT を設定する方法について説明します。詳細については、「ダイナミック NAT」または「ダイナミック PAT」を参照してください。
ガイドライン
• 使用できる場合、実際の送信元ポート番号がマッピング ポートに対して使用されます。ただし、実際のポートが使用 できない 場合は、デフォルトで、マッピング ポートは実際のポート番号と同じポート範囲(0 ~ 511、512 ~ 1023、および 1024 ~ 65535)から選択されます。そのため、1024 よりも下のポートでは、小さい PAT プールのみを使用できます。(8.4(3) 以降、8.5(1) または 8.6(1) を除く)下位ポート範囲を使用するトラフィックが数多くある場合は、PAT プールに対して、サイズが異なる 3 つの層の代わりにフラットなポート範囲を使用するように指定できます。1024 ~ 65535 または 1 ~ 65535 です。
• (8.4(3) 以降、8.5(1) または 8.6(1) を除く)2 つの個別のルールで同じ PAT プール オブジェクトを使用する場合は、各ルールに対して同じオプションを指定します。たとえば、1 つのルールで拡張 PAT およびフラットな範囲が指定される場合は、もう一方のルールでも拡張 PAT およびフラットな範囲が指定される必要があります。
PAT プールの拡張 PAT の場合(8.4(3) 以降、8.5(1) または 8.6(1) を除く):
• 多くのアプリケーション インスペクションでは、拡張 PAT はサポートされていません。サポート対象外のインスペクションの完全な一覧については、「アプリケーション レイヤ プロトコル インスペクションの準備」の「デフォルト インスペクションと NAT に関する制限事項」を参照してください。
• ダイナミック PAT ルールに対して拡張 PAT をイネーブルにする場合は、PAT プール内のアドレスを、ポート変換ルールを設定した別のスタティック NAT の PAT アドレスとしても使用することはできません。たとえば、PAT プールに 10.1.1.1 が含まれている場合、PAT アドレスとして 10.1.1.1 を使用する、ポート変換ルールを設定したスタティック NAT は作成できません。
• NAT プールは固有の宛先ごとに作成されるため、拡張 PAT は大量のメモリを消費する場合があり、メモリを使い尽くしてしまう可能性があります。これにより、接続数を減らしたとしても、すぐにメモリが枯渇してしまう場合があります。
• PAT プールを使用し、フォールバックのインターフェイスを指定する場合、拡張 PAT を使用できません。
• ICE または TURN を使用する VoIP 配置では、拡張 PAT を使用しないでください。ICE および TURN は、すべての宛先に対して同じであるために PAT バインディングに依存しています。
• (8.4(3) 以降、8.5(1) または 8.6(1) を除く)ホストに既存の接続がある場合、そのホストからの後続の接続では、ポートが使用可能であれば同じ PAT IP アドレスが使用されます。 注 :この「粘着性」は、フェールオーバーが発生すると失われます。ASA がフェールオーバーすると、ホストからの後続の接続では最初の IP アドレスが使用されない場合があります。
• (8.4(2)、8.5(1)、および 8.6(1))ホストに既存の接続がある場合、そのホストからの後続の接続では、ラウンドロビン割り当てのため、接続ごとに 別の PAT アドレスが使用される可能性があります。この場合、ホストについて情報を交換する 2 つの Web サイト(e- コマース サイトと支払サイトなど)にアクセスするときに問題が発生する可能性があります。これらのサイトが、1 つのホストとして扱うべきものを 2 つの異なる IP アドレスと見なした場合、トランザクションは失敗することがあります。
• ラウンドロビンでは、特に拡張 PAT と組み合わせた場合に、大量のメモリが消費されます。NAT プールはマッピングされるプロトコル/IP アドレス/ポート範囲ごとに作成されるため、ラウンドロビンでは数多くの同時 NAT プールが作成され、メモリが使用されます。拡張 PAT では、さらに多くの同時 NAT プールが作成されます。
手順の詳細
ダイナミック NAT を設定するには、次の手順を実行します。
ステップ 1 [Configuration] > [Firewall] > [NAT Rules] を選択して、[Add] をクリックします。
このルールをセクション 3(ネットワーク オブジェクト ルールの後)に追加する場合は、[Add] の横にある下矢印をクリックし、[Add NAT Rule After Network Object NAT Rules] を選択します。
[Add NAT Rule] ダイアログボックスが表示されます。
ステップ 2 送信元インターフェイスおよび宛先インターフェイスを設定します。
ルーテッド モードのデフォルトでは、どちらのインターフェイスも --Any-- に設定されています。トランスペアレント ファイアウォール モードでは、特定のインターフェイスを設定する必要があります。
a. [Match Criteria: Original Packet] > [Source Interface] ドロップダウン リストから、送信元インターフェイスを選択します。
b. [Match Criteria: Original Packet] > [Destination Interface] ドロップダウン リストから、宛先インターフェイスを選択します。
ステップ 3 元のパケットのアドレスが IPv4 であるか IPv6 であるか、つまり、パケットのアドレスが送信元インターフェイス上のネットワーク( 実際の送信元アドレス と マッピング宛先アドレス )に表示されるかどうかを識別します。元のパケットと変換されたパケットの例については、 次の図を参照してください。
a. [Match Criteria: Original Packet] > [Source Address] の場合、参照ボタンをクリックして既存のネットワーク オブジェクトまたはグループを選択するか、[Browse Original Source Address] ダイアログボックスから新しいオブジェクトまたはグループを作成します。IPv4 アドレスと IPv6 アドレスの両方をグループに入れることはできません。1 つのタイプだけが含まれている必要があります。デフォルトは any です。
b. (オプション)[Match Criteria: Original Packet] > [Destination Address] の場合、参照ボタンをクリックして既存のネットワーク オブジェクトまたはグループを選択するか、[Browse Original Destination Address] ダイアログボックスから新しいオブジェクトまたはグループを作成します。IPv4 アドレスと IPv6 アドレスの両方をグループに入れることはできません。1 つのタイプだけが含まれている必要があります。
Twice NAT の主な機能は、宛先 IP アドレスを含めることですが、宛先アドレスはオプションです。宛先アドレスを指定した場合、このアドレスにスタティック変換を設定できるか、単にアイデンティティ NAT を使用できます。宛先アドレスを使用せずに Twice NAT を設定して、実際のアドレスに対するネットワーク オブジェクト グループの使用または手動でのルールの順序付けを含む、Twice NAT の他の特質の一部を活用することができます。詳細については、「ネットワーク オブジェクト NATと Twice NAT の主な違い」を参照してください。
ステップ 4 (オプション)元のパケット ポート( マッピング宛先ポート )を識別します。[Match Criteria: Original Packet] > [Service] の場合、参照ボタンをクリックして既存の TCP または UDP サービス オブジェクトを選択するか、[Browse Original Service] ダイアログボックスから新しいオブジェクトを作成します。
ダイナミック NAT では、ポート変換はサポートされません。しかし、宛先変換は常にスタティックなので、宛先ポートに対してポート変換を実行できます。サービス オブジェクトには送信元ポートと宛先ポートの両方を含めることができますが、この場合は、宛先ポートだけが使用されます。送信元ポートを指定した場合、無視されます。NAT では、TCP または UDP だけがサポートされます。ポートを変換する場合、実際のサービス オブジェクトのプロトコルとマッピング サービス オブジェクトのプロトコルの両方を同じにします(両方とも TCP または両方とも UDP)。アイデンティティ NAT では、実際のポートとマッピング ポートの両方に同じサービス オブジェクトを使用できます。「not equal(等しくない)」( != )演算子はサポートされていません。
ステップ 5 [Match Criteria: Translated Packet] > [Source NAT Type] ドロップダウン リストから、[Dynamic] を選択します。
この設定は送信元アドレスにのみ適用されます。宛先の変換は常にスタティックになります。
ステップ 6 変換済みパケットのアドレスが IPv4 であるか IPv6 であるか、つまり、パケットのアドレスが宛先インターフェイス上のネットワーク( マッピング送信元アドレス と 実際の宛先アドレス )に表示されるかどうかを識別します。必要に応じて、IPv4 と IPv6 の間で変換できます。元のパケットと変換されたパケットの例については、 次の図を参照してください。
a. ダイナミック NAT または PAT プールを使用するダイナミック PAT を実行できます。
• ダイナミック NAT:[Match Criteria: Translated Packet] > [Source Address] の場合、参照ボタンをクリックして既存のネットワーク オブジェクトまたはグループを選択するか、[Browse Translated Source Address] ダイアログボックスから新しいオブジェクトまたはグループを作成します。
ダイナミック NAT では、通常、大きい送信元アドレスのグループが小さいグループにマッピングされます。
(注) オブジェクトまたはグループは、サブネットを含むことはできません。
• PAT プールを使用したダイナミック PAT:PAT プールを設定するには、[PAT Pool Translated Address] チェックボックスをオンにしてから、参照ボタンをクリックして、既存のネットワーク オブジェクトまたはグループを選択するか、[Browse Translated PAT Pool Address] ダイアログボックスから新しいオブジェクトまたはグループを作成します。 注 :[Source Address] フィールドは空のままにしておきます。
(注) オブジェクトまたはグループは、サブネットを含むことはできません。
(オプション)PAT プールの場合は、次のオプションを設定します。
– ラウンドロビン方式でアドレス/ポートを割り当てるには、[Round Robin] チェックボックスをオンにします。ラウンドロビンを使用しない場合、デフォルトでは、次の PAT アドレスが使用される前に PAT アドレスのすべてのポートが割り当てられます。ラウンドロビン方式では、最初のアドレスに戻って再び使用される前に、2 番目のアドレス、またその次と、プール内の各 PAT アドレスからアドレス/ポートが割り当てられます。
– (8.4(3) 以降、8.5(1) または 8.6(1) を除く)拡張 PAT を使用するには、[Extend PAT uniqueness to per destination instead of per interface] チェックボックスをオンにします。拡張 PAT では、変換情報の宛先アドレスとポートを含め、IP アドレスごとではなく、 サービス ごとに 65535 個のポートが使用されます。通常は、PAT 変換を作成するときに宛先ポートとアドレスは考慮されないため、PAT アドレスごとに 65535 個のポートに制限されます。たとえば、拡張 PAT を使用して、192.168.1.7:23 に向かう場合の 10.1.1.1:1027 の変換、および 192.168.1.7:80 に向かう場合の 10.1.1.1:1027 の変換を作成できます。
– (8.4(3) 以降、8.5(1) または 8.6(1) を除く)ポートの割り当て時に 1 つのフラットな範囲として 1024 ~ 65535 のポート範囲を使用するには、[Translate TCP or UDP ports into flat range (1024-65535)] チェックボックスをオンにします。変換のマッピング ポート番号を選択するときに、ASA によって、使用可能な場合は実際の送信元ポート番号が使用されます。ただし、このオプションを設定しないと、実際のポートが使用 できない 場合は、デフォルトで、マッピング ポートは実際のポート番号と同じポート範囲(1 ~ 511、512 ~ 1023、および 1024 ~ 65535)から選択されます。下位範囲でポートが不足するのを回避するには、この設定を行います。1 ~ 65535 の全範囲を使用するには、[Include range 1 to 1023] チェックボックスもオンにします。
b. (任意、ルーテッド モードのみ)他のマッピングされた送信元アドレスがすでに割り当てられている場合に、インターフェイス IP アドレスをバックアップの手段として使用するには、[Fall through to interface PAT] チェックボックスをオンにします。IPv6 インターフェイス アドレスを使用するには、[Use IPv6 for interface PAT] チェックボックスもオンにします。
宛先インターフェイス IP アドレスが使用されます。このオプションは、特定の [Destination Interface] を設定する場合にだけ使用できます。
c. [Match Criteria: Translated Packet] > [Destination Address] の場合、参照ボタンをクリックして既存のネットワーク オブジェクト、グループ、またはインターフェイスを選択するか、[Browse Translated Destination Address] ダイアログボックスから新しいオブジェクトまたはグループを作成します。
宛先アドレスのアイデンティティ NAT では、実際のアドレスとマッピング アドレスの両方に単に同じオブジェクトまたはグループを使用します。
宛先アドレスを変換する場合、スタティック マッピングは、通常 1 対 1 です。したがって、実際のアドレスとマッピング アドレスの数は同じです。ただし、必要に応じて異なる数にすることができます。詳細については、「スタティック NAT」を参照してください。拒否されるマッピング IP アドレスについては、「ガイドラインと制限事項」を参照してください。
ポート変換を設定したスタティック インターフェイス NAT に限り、[Browse] ダイアログボックスからインターフェイスを選択します。サービス変換も必ず設定します(ステップ 7 を参照)。このオプションでは、ステップ 2 で [Source Interface] に特定のインターフェイスを設定する必要があります。 詳細については、「ポート変換を設定したスタティック インターフェイス NAT」を参照してください。
ステップ 7 (オプション)変換されたパケット ポート( 実際の宛先ポート )を識別します。[Match Criteria: Translated Packet] > [Service] の場合、参照ボタンをクリックして既存の TCP または UDP サービス オブジェクトを選択するか、[Browse Translated Service] ダイアログボックスから新しいオブジェクトを作成します。
ダイナミック NAT では、ポート変換はサポートされません。しかし、宛先変換は常にスタティックなので、宛先ポートに対してポート変換を実行できます。サービス オブジェクトには送信元ポートと宛先ポートの両方を含めることができますが、この場合は、宛先ポートだけが使用されます。送信元ポートを指定した場合、無視されます。NAT では、TCP または UDP だけがサポートされます。ポートを変換する場合、実際のサービス オブジェクトのプロトコルとマッピング サービス オブジェクトのプロトコルの両方を同じにします(両方とも TCP または両方とも UDP)。アイデンティティ NAT では、実際のポートとマッピング ポートの両方に同じサービス オブジェクトを使用できます。「not equal(等しくない)」( != )演算子はサポートされていません。
ステップ 8 (オプション)[Options] 領域で NAT オプションを設定します。
a. [Enable rule]:この NAT ルールをイネーブルにします。このルールはデフォルトでイネーブルになっています。
b. (送信元専用ルールの場合)[Translate DNS replies that match this rule]:DNS 応答内の DNS A レコードを書き換えます。DNS インスペクションがイネーブルになっていることを確認してください(デフォルトではイネーブルです)。宛先アドレスを設定する場合、DNS 修正は設定できません。詳細については、「DNS および NAT」を参照してください。
c. [Description]:ルールに関する説明を 200 文字以内で追加します。
ダイナミック PAT(隠蔽)の設定
この項では、ダイナミック PAT(隠蔽)の Twice NAT の設定方法について説明します。PAT プールを使用するダイナミック PAT については、この項ではなく、「ダイナミック NAT または PAT プールを使用したダイナミック PAT の設定」を参照してください。詳細については、「ダイナミック PAT」を参照してください。
手順の詳細
ダイナミック PAT を設定するには、次の手順を実行します。
ステップ 1 [Configuration] > [Firewall] > [NAT Rules] を選択して、[Add] をクリックします。
このルールをセクション 3(ネットワーク オブジェクト ルールの後)に追加する場合は、[Add] の横にある下矢印をクリックし、[Add NAT Rule After Network Object NAT Rules] を選択します。
[Add NAT Rule] ダイアログボックスが表示されます。
ステップ 2 送信元インターフェイスおよび宛先インターフェイスを設定します。
ルーテッド モードのデフォルトでは、どちらのインターフェイスも --Any-- に設定されています。トランスペアレント ファイアウォール モードでは、特定のインターフェイスを設定する必要があります。
a. [Match Criteria: Original Packet] > [Source Interface] ドロップダウン リストから、送信元インターフェイスを選択します。
b. [Match Criteria: Original Packet] > [Destination Interface] ドロップダウン リストから、宛先インターフェイスを選択します。
ステップ 3 元のパケットのアドレスが IPv4 であるか IPv6 であるか、つまり、パケットのアドレスが送信元インターフェイス上のネットワーク( 実際の送信元アドレス と マッピング宛先アドレス )に表示されるかどうかを識別します。元のパケットと変換されたパケットの例については、 次の図を参照してください。
a. [Match Criteria: Original Packet] > [Source Address] の場合、参照ボタンをクリックして既存のネットワーク オブジェクトまたはグループを選択するか、[Browse Original Source Address] ダイアログボックスから新しいオブジェクトまたはグループを作成します。IPv4 アドレスと IPv6 アドレスの両方をグループに入れることはできません。1 つのタイプだけが含まれている必要があります。デフォルトは any です。
b. (オプション)[Match Criteria: Original Packet] > [Destination Address] の場合、参照ボタン 
をクリックして既存のネットワーク オブジェクトまたはグループを選択するか、[Browse Original Destination Address] ダイアログボックスから新しいオブジェクトまたはグループを作成します。IPv4 アドレスと IPv6 アドレスの両方をグループに入れることはできません。1 つのタイプだけが含まれている必要があります。
Twice NAT の主な機能は、宛先 IP アドレスを含めることですが、宛先アドレスはオプションです。宛先アドレスを指定した場合、このアドレスにスタティック変換を設定できるか、単にアイデンティティ NAT を使用できます。宛先アドレスを使用せずに Twice NAT を設定して、実際のアドレスに対するネットワーク オブジェクト グループの使用または手動でのルールの順序付けを含む、Twice NAT の他の特質の一部を活用することができます。詳細については、「ネットワーク オブジェクト NATと Twice NAT の主な違い」を参照してください。
ステップ 4 (オプション)元のパケット ポート( マッピング宛先ポート )を識別します。[Match Criteria: Original Packet] > [Service] の場合、参照ボタンをクリックして既存の TCP または UDP サービス オブジェクトを選択するか、[Browse Original Service] ダイアログボックスから新しいオブジェクトを作成します。
ダイナミック PAT では、追加のポート変換はサポートされません。しかし、宛先変換は常にスタティックなので、宛先ポートに対してポート変換を実行できます。サービス オブジェクトには送信元ポートと宛先ポートの両方を含めることができますが、この場合は、宛先ポートだけが使用されます。送信元ポートを指定した場合、無視されます。NAT では、TCP または UDP だけがサポートされます。ポートを変換する場合、実際のサービス オブジェクトのプロトコルとマッピング サービス オブジェクトのプロトコルの両方を同じにします(両方とも TCP または両方とも UDP)。アイデンティティ NAT では、実際のポートとマッピング ポートの両方に同じサービス オブジェクトを使用できます。「not equal(等しくない)」( != )演算子はサポートされていません。
ステップ 5 [Match Criteria: Translated Packet] > [Source NAT Type] ドロップダウン リストから、[Dynamic PAT (Hide)] を選択します。
この設定は送信元アドレスにのみ適用されます。宛先の変換は常にスタティックになります。
(注) PAT プールを使用するダイナミック PAT を設定するには、[Dynamic PAT (Hide)] の代わりに [Dynamic] を選択します。「ダイナミック NAT または PAT プールを使用したダイナミック PAT の設定」を参照してください。
ステップ 6 変換済みパケットのアドレスが IPv4 であるか IPv6 であるか、つまり、パケットのアドレスが宛先インターフェイス上のネットワーク( マッピング送信元アドレス と 実際の宛先アドレス )に表示されるかどうかを識別します。必要に応じて、IPv4 と IPv6 の間で変換できます。元のパケットと変換されたパケットの例については、 次の図を参照してください。
a. [Match Criteria: Translated Packet] > [Source Address] の場合、参照ボタンをクリックして既存のネットワーク オブジェクトまたはインターフェイスを選択するか、[Browse Translated Source Address] ダイアログボックスから新しいオブジェクトを作成します。
インターフェイスの IPv6 アドレスを使用するには、[Use IPv6 for interface PAT] チェックボックスをオンにします。
b. [Match Criteria: Translated Packet] > [Destination Address] の場合、参照ボタンをクリックして既存のネットワーク オブジェクトまたはグループを選択するか、[Browse Translated Destination Address] ダイアログボックスから新しいオブジェクトまたはグループを作成します。IPv4 アドレスと IPv6 アドレスの両方をグループに入れることはできません。1 つのタイプだけが含まれている必要があります。
宛先アドレスのアイデンティティ NAT では、実際のアドレスとマッピング アドレスの両方に単に同じオブジェクトまたはグループを使用します。
宛先アドレスを変換する場合、スタティック マッピングは、通常 1 対 1 です。したがって、実際のアドレスとマッピング アドレスの数は同じです。ただし、必要に応じて異なる数にすることができます。詳細については、「スタティック NAT」を参照してください。拒否されるマッピング IP アドレスについては、「ガイドラインと制限事項」を参照してください。
ポート変換を設定したスタティック インターフェイス NAT に限り、[Browse] ダイアログボックスからインターフェイスを選択します。サービス変換も必ず設定します(ステップ 7 を参照)。このオプションでは、ステップ 2 で [Source Interface] に特定のインターフェイスを設定する必要があります。 詳細については、「ポート変換を設定したスタティック インターフェイス NAT」を参照してください。
ステップ 7 (オプション)変換されたパケット ポート( 実際の宛先ポート )を識別します。[Match Criteria: Translated Packet] > [Service] の場合、参照ボタンをクリックして [Browse Translated Service] ダイアログボックスから既存の TCP または UDP サービス オブジェクトを選択します。
[Browse Translated Service] ダイアログボックスから新しいサービス オブジェクトを作成して、このオブジェクトをマッピング宛先ポートとして使用することもできます。
ダイナミック PAT では、追加のポート変換はサポートされません。しかし、宛先変換は常にスタティックなので、宛先ポートに対してポート変換を実行できます。サービス オブジェクトには送信元ポートと宛先ポートの両方を含めることができますが、この場合は、宛先ポートだけが使用されます。送信元ポートを指定した場合、無視されます。NAT では、TCP または UDP だけがサポートされます。ポートを変換する場合、実際のサービス オブジェクトのプロトコルとマッピング サービス オブジェクトのプロトコルの両方を同じにします(両方とも TCP または両方とも UDP)。アイデンティティ NAT では、実際のポートとマッピング ポートの両方に同じサービス オブジェクトを使用できます。「not equal(等しくない)」( != )演算子はサポートされていません。
ステップ 8 (オプション)[Options] 領域で NAT オプションを設定します。
a. [Enable rule]:この NAT ルールをイネーブルにします。このルールはデフォルトでイネーブルになっています。
b. (送信元専用ルールの場合)[Translate DNS replies that match this rule]:DNS 応答内の DNS A レコードを書き換えます。DNS インスペクションがイネーブルになっていることを確認してください(デフォルトではイネーブルです)。宛先アドレスを設定する場合、DNS 修正は設定できません。詳細については、「DNS および NAT」を参照してください。
c. [Description]:ルールに関する説明を 200 文字以内で追加します。
スタティック NAT またはポート変換を設定したスタティック NAT の設定
この項では、Twice NAT を使用してスタティック NAT ルールを設定する方法について説明します。スタティック NAT の詳細については、「スタティック NAT」を参照してください。
手順の詳細
スタティック NAT を設定するには、次の手順を実行します。
ステップ 1 [Configuration] > [Firewall] > [NAT Rules] を選択して、[Add] をクリックします。
このルールをセクション 3(ネットワーク オブジェクト ルールの後)に追加する場合は、[Add] の横にある下矢印をクリックし、[Add NAT Rule After Network Object NAT Rules] を選択します。
[Add NAT Rule] ダイアログボックスが表示されます。
ステップ 2 送信元インターフェイスおよび宛先インターフェイスを設定します。
ルーテッド モードのデフォルトでは、どちらのインターフェイスも --Any-- に設定されています。トランスペアレント ファイアウォール モードでは、特定のインターフェイスを設定する必要があります。
a. [Match Criteria: Original Packet] > [Source Interface] ドロップダウン リストから、送信元インターフェイスを選択します。
b. [Match Criteria: Original Packet] > [Destination Interface] ドロップダウン リストから、宛先インターフェイスを選択します。
ステップ 3 元のパケットのアドレスが IPv4 であるか IPv6 であるか、つまり、パケットのアドレスが送信元インターフェイス上のネットワーク( 実際の送信元アドレス と マッピング宛先アドレス )に表示されるかどうかを識別します。元のパケットと変換されたパケットの例については、 次の図を参照してください。
a. [Match Criteria: Original Packet] > [Source Address] の場合、参照ボタンをクリックして既存のネットワーク オブジェクトまたはグループを選択するか、[Browse Original Source Address] ダイアログボックスから新しいオブジェクトまたはグループを作成します。IPv4 アドレスと IPv6 アドレスの両方をグループに入れることはできません。1 つのタイプだけが含まれている必要があります。デフォルトは any ですが、アイデンティティ NAT を除いてはこのオプションを使用しないでください。詳細については、「アイデンティティ NAT の設定」を参照してください。
b. (オプション)[Match Criteria: Original Packet] > [Destination Address] の場合、参照ボタンをクリックして既存のネットワーク オブジェクトまたはグループを選択するか、[Browse Original Destination Address] ダイアログボックスから新しいオブジェクトまたはグループを作成します。
Twice NAT の主な機能は、宛先 IP アドレスを含めることですが、宛先アドレスはオプションです。宛先アドレスを指定した場合、このアドレスにスタティック変換を設定できるか、単にアイデンティティ NAT を使用できます。宛先アドレスを使用せずに Twice NAT を設定して、実際のアドレスに対するネットワーク オブジェクト グループの使用または手動でのルールの順序付けを含む、Twice NAT の他の特質の一部を活用することができます。詳細については、「ネットワーク オブジェクト NATと Twice NAT の主な違い」を参照してください。
ステップ 4 (オプション)元のパケットの送信元ポートまたは宛先ポート( 実際の送信元ポート または マッピング宛先ポート )を識別します。[Match Criteria: Original Packet] > [Service] の場合、参照ボタンをクリックして既存の TCP または UDP サービス オブジェクトを選択するか、[Browse Original Service] ダイアログボックスから新しいオブジェクトを作成します。
サービス オブジェクトは、送信元ポートと宛先ポートの両方を含むことができます。実際のサービス オブジェクトとマッピング サービス オブジェクトの両方に、送信元ポート または 宛先ポートの いずれか を指定する必要があります。ご使用のアプリケーションが固定の送信元ポートを使用する場合(一部の DNS サーバなど)に送信元ポートおよび宛先ポートの 両方 を指定する必要がありますが、固定の送信元ポートはめったに使用されません。オブジェクトで送信元ポートと宛先ポートの両方を指定することはほとんどありませんが、この場合には、元のパケットのサービス オブジェクトに実際の送信元ポート/マッピングされた宛先ポートが含まれます。変換されたパケットのサービス オブジェクトには、マッピングされた送信元ポート/実際の宛先ポートが含まれます。NAT では、TCP または UDP だけがサポートされます。ポートを変換する場合、実際のサービス オブジェクトのプロトコルとマッピング サービス オブジェクトのプロトコルの両方を同じにします(両方とも TCP または両方とも UDP)。アイデンティティ NAT では、実際のポートとマッピング ポートの両方に同じサービス オブジェクトを使用できます。「not equal(等しくない)」( != )演算子はサポートされていません。
ステップ 5 [Match Criteria: Translated Packet] > [Source NAT Type] ドロップダウン リストから、[Static] を選択します。[Static] がデフォルトの設定です。
この設定は送信元アドレスにのみ適用されます。宛先の変換は常にスタティックになります。
ステップ 6 変換済みパケットのアドレスが IPv4 であるか IPv6 であるか、つまり、パケットのアドレスが宛先インターフェイス上のネットワーク( マッピング送信元アドレス と 実際の宛先アドレス )に表示されるかどうかを識別します。必要に応じて、IPv4 と IPv6 の間で変換できます。元のパケットと変換されたパケットの例については、 次の図を参照してください。
a. [Match Criteria: Translated Packet] > [Source Address] の場合、参照ボタンをクリックして既存のネットワーク オブジェクトまたはグループを選択するか、[Browse Translated Source Address] ダイアログボックスから新しいオブジェクトまたはグループを作成します。
スタティック NAT のマッピングは、通常 1 対 1 です。したがって、実際のアドレスとマッピング アドレスの数は同じです。ただし、必要に応じて異なる数にすることができます。
ポート変換が設定されたスタティック インターフェイス NAT では、マッピング アドレスのネットワーク オブジェクト/グループではなく、インターフェイスを指定できます。インターフェイスの IPv6 アドレスを使用するには、[Use IPv6 for interface PAT] チェックボックスをオンにします。
詳細については、「ポート変換を設定したスタティック インターフェイス NAT」を参照してください。拒否されるマッピング IP アドレスについては、「ガイドラインと制限事項」を参照してください。
b. [Match Criteria: Translated Packet] > [Destination Address] の場合、参照ボタンをクリックして既存のネットワーク オブジェクト、グループ、またはインターフェイスを選択するか、[Browse Translated Destination Address] ダイアログボックスから新しいオブジェクトまたはグループを作成します。
スタティック NAT のマッピングは、通常 1 対 1 です。したがって、実際のアドレスとマッピング アドレスの数は同じです。ただし、必要に応じて異なる数にすることができます。
ポート変換が設定されたスタティック インターフェイス NAT では、マッピング アドレスのネットワーク オブジェクト/グループではなく、インターフェイスを指定できます。詳細については、「ポート変換を設定したスタティック インターフェイス NAT」を参照してください。拒否されるマッピング IP アドレスについては、「ガイドラインと制限事項」を参照してください。
ステップ 7 (オプション)変換されたパケットの送信元ポートまたは宛先ポート( マッピング送信元ポート または 実際の宛先ポート )を識別します。[Match Criteria: Translated Packet] > [Service] の場合、参照ボタンをクリックして既存の TCP または UDP サービス オブジェクトを選択するか、[Browse Translated Service] ダイアログボックスから新しいオブジェクトを作成します。
サービス オブジェクトは、送信元ポートと宛先ポートの両方を含むことができます。実際のサービス オブジェクトとマッピング サービス オブジェクトの両方に、送信元ポート または 宛先ポートの いずれか を指定する必要があります。ご使用のアプリケーションが固定の送信元ポートを使用する場合(一部の DNS サーバなど)に送信元ポートおよび宛先ポートの 両方 を指定する必要がありますが、固定の送信元ポートはめったに使用されません。オブジェクトで送信元ポートと宛先ポートの両方を指定することはほとんどありませんが、この場合には、元のパケットのサービス オブジェクトに実際の送信元ポート/マッピングされた宛先ポートが含まれます。変換されたパケットのサービス オブジェクトには、マッピングされた送信元ポート/実際の宛先ポートが含まれます。NAT では、TCP または UDP だけがサポートされます。ポートを変換する場合、実際のサービス オブジェクトのプロトコルとマッピング サービス オブジェクトのプロトコルの両方を同じにします(両方とも TCP または両方とも UDP)。アイデンティティ NAT では、実際のポートとマッピング ポートの両方に同じサービス オブジェクトを使用できます。「not equal(等しくない)」( != )演算子はサポートされていません。
ステップ 8 (オプション)NAT46 の場合、[Use one-to-one address translation] チェックボックスをオンにします。NAT46 の場合、最初の IPv4 アドレスを最初の IPv6 アドレス、2 番目の IPv4 アドレスを 2 番目の IPv6 アドレス、以下同様に 1 対 1 で順に変換するように指定します。このオプションを指定しない場合は、IPv4 埋め込み方式が使用されます。1 対 1 変換の場合は、このキーワードを使用する必要があります。
ステップ 9 (オプション)[Options] 領域で NAT オプションを設定します。
a. [Enable rule]:この NAT ルールをイネーブルにします。このルールはデフォルトでイネーブルになっています。
b. (送信元専用ルールの場合)[Translate DNS replies that match this rule]:DNS 応答内の DNS A レコードを書き換えます。DNS インスペクションがイネーブルになっていることを確認してください(デフォルトではイネーブルです)。宛先アドレスを設定する場合、DNS 修正は設定できません。詳細については、「DNS および NAT」を参照してください。
c. [Disable Proxy ARP on egress interface]:マッピング IP アドレスへの着信パケットのプロキシ ARP をディセーブルにします。詳細については、「マッピング アドレスとルーティング」を参照してください。
d. [Direction]:ルールを単方向にするには、[Unidirectional] を選択します。デフォルトは [Both] です。ルールを単方向にすると、トラフィックが実際のアドレスへの接続を開始するのを回避できます。
e. [Description]:ルールに関する説明を 200 文字以内で追加します。
アイデンティティ NAT の設定
この項では、Twice NAT を使用してアイデンティティ NAT ルールを設定する方法について説明します。アイデンティティ NAT の詳細については、「アイデンティティ NAT」を参照してください。
手順の詳細
アイデンティティ NAT を設定するには、次の手順を実行します。
ステップ 1 [Configuration] > [Firewall] > [NAT Rules] を選択して、[Add] をクリックします。
このルールをセクション 3(ネットワーク オブジェクト ルールの後)に追加する場合は、[Add] の横にある下矢印をクリックし、[Add NAT Rule After Network Object NAT Rules] を選択します。
[Add NAT Rule] ダイアログボックスが表示されます。
ステップ 2 送信元インターフェイスおよび宛先インターフェイスを設定します。
ルーテッド モードのデフォルトでは、どちらのインターフェイスも --Any-- に設定されています。トランスペアレント ファイアウォール モードでは、特定のインターフェイスを設定する必要があります。
a. [Match Criteria: Original Packet] > [Source Interface] ドロップダウン リストから、送信元インターフェイスを選択します。
b. [Match Criteria: Original Packet] > [Destination Interface] ドロップダウン リストから、宛先インターフェイスを選択します。
ステップ 3 元のパケットのアドレスが IPv4 であるか IPv6 であるか、つまり、パケットのアドレスが送信元インターフェイス上のネットワーク( 実際の送信元アドレス と マッピング宛先アドレス )に表示されるかどうかを識別します。元のパケットと変換されたパケットの例については、 次の図を参照してください。ここでは、内部ホストでアイデンティティ NAT を実行しますが、外部ホストを変換します。
a. [Match Criteria: Original Packet] > [Source Address] の場合、参照ボタンをクリックして既存のネットワーク オブジェクトまたはグループを選択するか、[Browse Original Source Address] ダイアログボックスから新しいオブジェクトまたはグループを作成します。IPv4 アドレスと IPv6 アドレスの両方をグループに入れることはできません。1 つのタイプだけが含まれている必要があります。デフォルトは any です。このオプションは、マッピング アドレスも any に設定する場合にのみ使用します。
b. (オプション)[Match Criteria: Original Packet] > [Destination Address] の場合、参照ボタン をクリックして既存のネットワーク オブジェクトまたはグループを選択するか、[Browse Original Destination Address] ダイアログボックスから新しいオブジェクトまたはグループを作成します。
Twice NAT の主な機能は、宛先 IP アドレスを含めることですが、宛先アドレスはオプションです。宛先アドレスを指定した場合、このアドレスにスタティック変換を設定できるか、単にアイデンティティ NAT を使用できます。宛先アドレスを使用せずに Twice NAT を設定して、実際のアドレスに対するネットワーク オブジェクト グループの使用または手動でのルールの順序付けを含む、Twice NAT の他の特質の一部を活用することができます。詳細については、「ネットワーク オブジェクト NATと Twice NAT の主な違い」を参照してください。
ステップ 4 (オプション)元のパケットの送信元ポートまたは宛先ポート( 実際の送信元ポート または マッピング宛先ポート )を識別します。[Match Criteria: Original Packet] > [Service] の場合、参照ボタンをクリックして既存の TCP または UDP サービス オブジェクトを選択するか、[Browse Original Service] ダイアログボックスから新しいオブジェクトを作成します。
サービス オブジェクトは、送信元ポートと宛先ポートの両方を含むことができます。両方のサービス オブジェクトに、送信元ポート または 宛先ポートの いずれか を指定する必要があります。ご使用のアプリケーションが固定の送信元ポートを使用する場合(一部の DNS サーバなど)に送信元ポートおよび宛先ポートの 両方 を指定する必要がありますが、固定の送信元ポートはめったに使用されません。オブジェクトで送信元ポートと宛先ポートの両方を指定することはほとんどありませんが、この場合には、元のパケットのサービス オブジェクトに実際の送信元ポート/マッピングされた宛先ポートが含まれます。変換されたパケットのサービス オブジェクトには、マッピングされた送信元ポート/実際の宛先ポートが含まれます。NAT では、TCP または UDP だけがサポートされます。ポートを変換する場合、実際のサービス オブジェクトのプロトコルとマッピング サービス オブジェクトのプロトコルの両方を同じにします(両方とも TCP または両方とも UDP)。アイデンティティ NAT では、実際のポートとマッピング ポートの両方に同じサービス オブジェクトを使用できます。「not equal(等しくない)」( != )演算子はサポートされていません。
ステップ 5 [Match Criteria: Translated Packet] > [Source NAT Type] ドロップダウン リストから、[Static] を選択します。[Static] がデフォルトの設定です。
この設定は送信元アドレスにのみ適用されます。宛先の変換は常にスタティックになります。
ステップ 6 変換されたパケット アドレスを識別します。つまり、宛先インターフェイス ネットワークに表示されるパケット アドレス( マッピング送信元アドレス と 実際の宛先アドレス )です。元のパケットと変換されたパケットの例については、 次の図を参照してください。ここでは、内部ホストでアイデンティティ NAT を実行しますが、外部ホストを変換します。
a. [Match Criteria: Translated Packet] > [Source Address] の場合、参照ボタンをクリックして [Browse Translated Source Address] ダイアログボックスから実際の送信元アドレスに選択したものと同じネットワーク オブジェクトまたはグループを選択します。実際のアドレスに any を指定した場合は any を使用します。
b. [Match Criteria: Translated Packet] > [Destination Address] の場合、参照ボタンをクリックして既存のネットワーク オブジェクト、グループ、またはインターフェイスを選択するか、[Browse Translated Destination Address] ダイアログボックスから新しいオブジェクトまたはグループを作成します。
宛先アドレスのアイデンティティ NAT では、実際のアドレスとマッピング アドレスの両方に単に同じオブジェクトまたはグループを使用します。
宛先アドレスを変換する場合、スタティック マッピングは、通常 1 対 1 です。したがって、実際のアドレスとマッピング アドレスの数は同じです。ただし、必要に応じて異なる数にすることができます。詳細については、「スタティック NAT」を参照してください。拒否されるマッピング IP アドレスについては、「ガイドラインと制限事項」を参照してください。
ポート変換を設定したスタティック インターフェイス NAT に限り、インターフェイスを選択します。インターフェイスを指定する場合は、必ずサービス変換も設定します。詳細については、「ポート変換を設定したスタティック インターフェイス NAT」を参照してください。
ステップ 7 (オプション)変換されたパケットの送信元ポートまたは宛先ポート( マッピング送信元ポート または 実際の宛先ポート )を識別します。[Match Criteria: Translated Packet] > [Service] の場合、参照ボタンをクリックして既存の TCP または UDP サービス オブジェクトを選択するか、[Browse Translated Service] ダイアログボックスから新しいオブジェクトを作成します。
サービス オブジェクトは、送信元ポートと宛先ポートの両方を含むことができます。両方のサービス オブジェクトに、送信元ポート または 宛先ポートの いずれか を指定する必要があります。ご使用のアプリケーションが固定の送信元ポートを使用する場合(一部の DNS サーバなど)に送信元ポートおよび宛先ポートの 両方 を指定する必要がありますが、固定の送信元ポートはめったに使用されません。オブジェクトで送信元ポートと宛先ポートの両方を指定することはほとんどありませんが、この場合には、元のパケットのサービス オブジェクトに実際の送信元ポート/マッピングされた宛先ポートが含まれます。変換されたパケットのサービス オブジェクトには、マッピングされた送信元ポート/実際の宛先ポートが含まれます。NAT では、TCP または UDP だけがサポートされます。ポートを変換する場合、実際のサービス オブジェクトのプロトコルとマッピング サービス オブジェクトのプロトコルの両方を同じにします(両方とも TCP または両方とも UDP)。アイデンティティ NAT では、実際のポートとマッピング ポートの両方に同じサービス オブジェクトを使用できます。「not equal(等しくない)」( != )演算子はサポートされていません。
ステップ 8 (オプション)[Options] 領域で NAT オプションを設定します。
a. [Enable rule]:この NAT ルールをイネーブルにします。このルールはデフォルトでイネーブルになっています。
b. [Disable Proxy ARP on egress interface]:マッピング IP アドレスへの着信パケットのプロキシ ARP をディセーブルにします。詳細については、「マッピング アドレスとルーティング」を参照してください。
c. (ルーテッド モード、インターフェイスを指定)[Lookup route table to locate egress interface]:NAT コマンドに指定したインターフェイスを使用する代わりに、ルート ルックアップを使用して出力インターフェイスを決定します。詳細については、「出力インターフェイスの決定」を参照してください。
d. [Direction]:ルールを単方向にするには、[Unidirectional] を選択します。デフォルトは [Both] です。ルールを単方向にすると、トラフィックが実際のアドレスへの接続を開始するのを回避できます。この設定は、テストのために使用する場合があります。
e. [Description]:ルールに関する説明を 200 文字以内で追加します。
(注) 宛先アドレスを設定しない場合でも [Translate DNS replies that match this rule] チェックボックスを使用できますが、アドレスをそれ自身に変換しているので DNS 応答に修正が必要ないため、このオプションはアイデンティティ NAT には適用されません。詳細については、「DNS および NAT」を参照してください。
Per-Session PAT ルールの設定
デフォルトでは、すべての TCP PAT トラフィックおよびすべての UDP DNS トラフィックが Per-Session PAT を使用します。トラフィックに Multi-Session PAT を使用するには、Per-Session PAT ルールを設定します。許可ルールで Per-Session PAT を使用し、拒否ルールで Multi-Session PAT を使用します。Per-Session PAT と Multi-Session PAT の詳細については、「Per-Session PAT と Multi-Session PAT(バージョン 9.0(1) 以降)」を参照してください。
手順の詳細
Per-Session PAT ルールを設定するには、「Per-Session PAT ルールの設定」を参照してください。
Twice NAT のモニタリング
[Monitoring] > [Properties] > [Connection Graphs] > [Xlates] ペインでは、アクティブなネットワーク アドレス変換をグラフィック形式で表示できます。1 つのグラフ ウィンドウに表示する統計情報のタイプは 4 つまで選択できます。複数のグラフ ウィンドウを同時に開くことができます。
• [Available Graphs]:グラフ化できるコンポーネントを一覧表示します。
– [Xlate Utilization]:ASA の NAT の使用状況を表示します。
• [Graph Window Title]:グラフ タイプを追加するグラフ ウィンドウ名を表示します。既存のウィンドウ タイトルを使用するには、ドロップダウン リストからいずれかを選択します。新しいウィンドウにグラフを表示するには、新しいウィンドウ タイトルを入力します。
• [Add]:[Available Graphs] リストで選択したエントリを [Selected Graphs] リストに移動するには、このフィールドをクリックします。
• [Remove]:[Selected Graphs] リストから選択したエントリを削除するには、このフィールドをクリックします。
• [Show Graphs]:新しいグラフ ウィンドウ、または更新したグラフ ウィンドウを表示するには、このフィールドをクリックします。
[Monitoring] > [Properties] > [Connection Graphs] > [Perfmon] ペインでは、パフォーマンス情報をグラフィック形式で表示できます。1 つのグラフ ウィンドウに表示する統計情報のタイプは 4 つまで選択できます。複数のグラフ ウィンドウを同時に開くことができます。
• [Available Graphs]:グラフ化できるコンポーネントを一覧表示します。
– [AAA Perfmon]:ASA の AAA パフォーマンス情報を表示します。
– [Inspection Perfmon]:ASA の検査パフォーマンス情報を表示します。
– [Web Perfmon]:URL アクセスおよび URL サーバ要求などの ASA の Web パフォーマンス情報を表示します。
– [Connections Perfmon]:ASA の接続パフォーマンス情報を表示します。
– [Xlate Perfmon]:ASA の NAT パフォーマンス情報を表示します。
• [Graph Window Title]:グラフ タイプを追加するグラフ ウィンドウ名を表示します。既存のウィンドウ タイトルを使用するには、ドロップダウン リストからいずれかを選択します。新しいウィンドウにグラフを表示するには、新しいウィンドウ タイトルを入力します。
• [Add]:[Available Graphs] リストで選択したエントリを [Selected Graphs] リストに移動するには、このフィールドをクリックします。
• [Remove]:[Selected Graphs] リストから選択した統計タイプを削除するには、このフィールドをクリックします。
• [Show Graphs]:新しいグラフ ウィンドウ、または更新したグラフ ウィンドウを表示するには、このフィールドをクリックします。
Twice NAT の設定例
• 「宛先アドレスおよびポートに応じて異なる変換(ダイナミック PAT)」
宛先に応じて異なる変換(ダイナミック PAT)
図 7-1 に、2 台の異なるサーバにアクセスしている 10.1.2.0/24 ネットワークのホストを示します。ホストがサーバ 209.165.201.11 にアクセスすると、実際のアドレスは 209.165.202.129: ポート に変換されます。ホストがサーバ 209.165.200.225 にアクセスすると、実際のアドレスは 209.165.202.130: ポート に変換されます。
図 7-1 異なる宛先アドレスを使用する Twice NAT
ステップ 1 内部ネットワークから DMZ ネットワーク 1 へのトラフィックの NAT ルールを追加します。
デフォルトでは、セクション 1 の最後に NAT ルールが追加されます。NAT ルールをセクション 3(ネットワーク オブジェクト NAT ルールの後)に追加する場合は、[Add NAT Rule After Network Object NAT Rules] を選択します。
[Add NAT Rule] ダイアログボックスが表示されます。
ステップ 2 送信元インターフェイスおよび宛先インターフェイスを設定します。
ステップ 3 [Original Source Address] の場合、参照ボタンをクリックして、[Browse Original Source Address] ダイアログボックスで内部ネットワークの新しいネットワーク オブジェクトを追加します。
b. 内部ネットワーク アドレスを定義し、[OK] をクリックします。
c. 新しいネットワーク オブジェクトをダブルクリックで選択します。[OK] をクリックして、NAT コンフィギュレーションに戻ります。
ステップ 4 [Original Destination Address] の場合、参照ボタンをクリックして、[Browse Original Destination Address] ダイアログボックスで DMZ ネットワーク 1 の新しいネットワーク オブジェクトを追加します。
b. DMZ ネットワーク 1 のアドレスを定義し、[OK] をクリックします。
c. 新しいネットワーク オブジェクトをダブルクリックで選択します。[OK] をクリックして、NAT コンフィギュレーションに戻ります。
ステップ 5 NAT タイプを [Dynamic PAT (Hide)] に設定します。
ステップ 6 [Translated Source Address] の場合、参照ボタンをクリックして、[Browse Translated Source Address] ダイアログボックスで PAT アドレスの新しいネットワーク オブジェクトを追加します。
b. PAT アドレスを定義し、[OK] をクリックします。
c. 新しいネットワーク オブジェクトをダブルクリックで選択します。[OK] をクリックして、NAT コンフィギュレーションに戻ります。
ステップ 7 [Translated Destination Address] の場合、元の宛先アドレスの名前を入力するか(DMZnetwork1)、または参照ボタンをクリックして選択します。
宛先アドレスは変換しないため、元の宛先アドレスと変換された宛先アドレスに同じアドレスを指定することによって、アイデンティティ NAT を設定する必要があります。
ステップ 8 [OK] をクリックして NAT テーブルにルールを追加します。
ステップ 9 内部ネットワークから DMZ ネットワーク 2 へのトラフィックの NAT ルールを追加します。
デフォルトでは、セクション 1 の最後に NAT ルールが追加されます。NAT ルールをセクション 3(ネットワーク オブジェクト NAT ルールの後)に追加する場合は、[Add NAT Rule After Network Object NAT Rules] を選択します。
[Add NAT Rule] ダイアログボックスが表示されます。
ステップ 10 送信元インターフェイスおよび宛先インターフェイスを設定します。
ステップ 11 [Original Source Address] の場合、内部ネットワーク オブジェクトの名前を入力するか(myInsideNetwork)、または参照ボタンをクリックして選択します。
ステップ 12 [Original Destination Address] の場合、参照ボタンをクリックして、[Browse Original Destination Address] ダイアログボックスで DMZ ネットワーク 2 の新しいネットワーク オブジェクトを追加します。
b. DMZ ネットワーク 2 のアドレスを定義し、[OK] をクリックします。
c. 新しいネットワーク オブジェクトをダブルクリックで選択します。[OK] をクリックして、NAT コンフィギュレーションに戻ります。
ステップ 13 NAT タイプを [Dynamic PAT (Hide)] に設定します。
ステップ 14 [Translated Source Address] の場合、参照ボタンをクリックして、[Browse Translated Source Address] ダイアログボックスで PAT アドレスの新しいネットワーク オブジェクトを追加します。
b. PAT アドレスを定義し、[OK] をクリックします。
c. 新しいネットワーク オブジェクトをダブルクリックで選択します。[OK] をクリックして、NAT コンフィギュレーションに戻ります。
ステップ 15 [Translated Destination Address] の場合、元の宛先アドレスの名前を入力するか(DMZnetwork2)、または参照ボタンをクリックして選択します。
宛先アドレスは変換しないため、元の宛先アドレスと変換された宛先アドレスに同じアドレスを指定することによって、アイデンティティ NAT を設定する必要があります。
ステップ 16 [OK] をクリックして NAT テーブルにルールを追加します。
宛先アドレスおよびポートに応じて異なる変換(ダイナミック PAT)
図 7-2 に、送信元ポートおよび宛先ポートの使用例を示します。10.1.2.0/24 ネットワークのホストは Web サービスと Telnet サービスの両方を提供する 1 つのホストにアクセスします。ホストが Telnet サービスを求めてサーバにアクセスすると、実際のアドレスは 209.165.202.129: port に変換されます。ホストが Web サービスを求めて同じサーバにアクセスすると、実際のアドレスは 209.165.202.130: port に変換されます。
ステップ 1 内部ネットワークから Telnet サーバへのトラフィックの NAT ルールを追加します。
デフォルトでは、セクション 1 の最後に NAT ルールが追加されます。NAT ルールをセクション 3(ネットワーク オブジェクト NAT ルールの後)に追加する場合は、[Add NAT Rule After Network Object NAT Rules] を選択します。
[Add NAT Rule] ダイアログボックスが表示されます。
ステップ 2 送信元インターフェイスおよび宛先インターフェイスを設定します。
ステップ 3 [Original Source Address] の場合、参照ボタンをクリックして、[Browse Original Source Address] ダイアログボックスで内部ネットワークの新しいネットワーク オブジェクトを追加します。
b. 内部ネットワーク アドレスを定義し、[OK] をクリックします。
c. 新しいネットワーク オブジェクトをダブルクリックで選択します。[OK] をクリックして、NAT コンフィギュレーションに戻ります。
ステップ 4 [Original Destination Address] の場合、参照ボタンをクリックして、[Browse Original Destination Address] ダイアログボックスで Telnet/Web サーバの新しいネットワーク オブジェクトを追加します。
b. サーバ アドレスを定義し、[OK] をクリックします。
c. 新しいネットワーク オブジェクトをダブルクリックで選択します。[OK] をクリックして、NAT コンフィギュレーションに戻ります。
ステップ 5 [Original Service] の場合、参照ボタンをクリックして、[Browse Original Service] ダイアログボックスで Telnet の新しいサービス オブジェクトを追加します。
b. プロトコルとポートを定義し、[OK] をクリックします。
c. 新しいサービス オブジェクトをダブルクリックで選択します。[OK] をクリックして、NAT コンフィギュレーションに戻ります。
ステップ 6 NAT タイプを [Dynamic PAT (Hide)] に設定します。
ステップ 7 [Translated Source Address] の場合、参照ボタンをクリックして、[Browse Translated Source Address] ダイアログボックスで PAT アドレスの新しいネットワーク オブジェクトを追加します。
b. PAT アドレスを定義し、[OK] をクリックします。
c. 新しいネットワーク オブジェクトをダブルクリックで選択します。[OK] をクリックして、NAT コンフィギュレーションに戻ります。
ステップ 8 [Translated Destination Address] の場合、元の宛先アドレスの名前を入力するか(TelnetWebServer)、または参照ボタンをクリックして選択します。
宛先アドレスは変換しないため、元の宛先アドレスと変換された宛先アドレスに同じアドレスを指定することによって、アイデンティティ NAT を設定する必要があります。
ステップ 9 [OK] をクリックして NAT テーブルにルールを追加します。
ステップ 10 内部ネットワークから Web サーバへのトラフィックの NAT ルールを追加します。
デフォルトでは、セクション 1 の最後に NAT ルールが追加されます。NAT ルールをセクション 3(ネットワーク オブジェクト NAT ルールの後)に追加する場合は、[Add NAT Rule After Network Object NAT Rules] を選択します。
[Add NAT Rule] ダイアログボックスが表示されます。
ステップ 11 実際のインターフェイスおよびマッピング インターフェイスを設定します。
ステップ 12 [Original Source Address] の場合、内部ネットワーク オブジェクトの名前を入力するか(myInsideNetwork)、または参照ボタンをクリックして選択します。
ステップ 13 [Original Destination Address] の場合、Telnet/Web サーバのネットワーク オブジェクトの名前を入力するか(TelnetWebServer)、または参照ボタンをクリックして選択します。
ステップ 14 [Original Service] の場合、参照ボタンをクリックして、[Browse Original Service] ダイアログボックスで HTTP の新しいサービス オブジェクトを追加します。
b. プロトコルとポートを定義し、[OK] をクリックします。
c. 新しいサービス オブジェクトをダブルクリックで選択します。[OK] をクリックして、NAT コンフィギュレーションに戻ります。
ステップ 15 NAT タイプを [Dynamic PAT (Hide)] に設定します。
ステップ 16 [Translated Source Address] の場合、参照ボタンをクリックして、[Browse Translated Source Address] ダイアログボックスで PAT アドレスの新しいネットワーク オブジェクトを追加します。
b. PAT アドレスを定義し、[OK] をクリックします。
c. 新しいネットワーク オブジェクトをダブルクリックで選択します。[OK] をクリックして、NAT コンフィギュレーションに戻ります。
ステップ 17 [Translated Destination Address] の場合、元の宛先アドレスの名前を入力するか(TelnetWebServer)、または参照ボタンをクリックして選択します。
宛先アドレスは変換しないため、元の宛先アドレスと変換された宛先アドレスに同じアドレスを指定することによって、アイデンティティ NAT を設定する必要があります。
ステップ 18 [OK] をクリックして NAT テーブルにルールを追加します。
Twice NAT の機能履歴
表 7-1 に、各機能変更と、それが実装されたプラットフォーム リリースを示します。ASDM は、複数のプラットフォーム リリースとの下位互換性があるため、サポートが追加された特定の ASDM リリースは一覧には含まれていません。
フィードバック