Cisco ASA シリーズファイアウォールCLIコンフィギュレーションガイドソフトウェアバージョン 9.3

object network obj_name

hostname(config)# object network MyInsNet

hostname(config-network-object)# subnet 10.1.1.0 255.255.255.0

ネットワーク オブジェクト（IPv4 または IPv6）を追加します。

object-group network grp_name

hostname(config)# object network TEST

hostname(config-network-object)# range 10.1.1.1 10.1.1.70

hostname(config)# object network TEST2

hostname(config-network-object)# range 10.1.2.1 10.1.2.70

hostname(config-network-object)# object-group network MAPPED_IPS

hostname(config-network)# network-object object TEST

hostname(config-network)# network-object object TEST2

hostname(config-network)# network-object host 10.1.2.79

ネットワーク オブジェクト グループ（IPv4 または IPv6）を追加します。

ステップ 1

object service obj_name

hostname(config)# object service REAL_SRC_SVC

hostname(config-service-object)# service tcp source eq 80

hostname(config)# object service MAPPED_SRC_SVC

hostname(config-service-object)# service tcp source eq 8080

サービス オブジェクトを追加します。

ステップ 1

次のネットワーク オブジェクトまたはグループを作成します。

• 送信元の実際のアドレス

• 送信元のマッピング アドレス

• 宛先の実際のアドレス

• 宛先のマッピング アドレス

「実際のアドレスおよびマッピング アドレスのネットワーク オブジェクトの追加」を参照してください。

すべての送信元トラフィックを変換する場合、送信元の実際のアドレスに対するオブジェクトの追加をスキップして、代わりに、 nat コマンドに any キーワードを指定できます。

ポート変換を設定した宛先のスタティック インターフェイス NAT のみを設定する場合は、宛先のマッピング アドレスに対するオブジェクトの追加をスキップして、代わりに、 nat コマンドに interface キーワードを指定できます。

ステップ 2

（任意）次のサービス オブジェクトを作成します。

• 宛先の実際のポート

• 宛先のマッピング ポート

「（任意）実際のポートとマッピング ポートのサービス オブジェクトの追加」を参照してください。

ステップ 3

nat [ ( real_ifc , mapped_ifc ) ] [ line  | { after-auto [ line ]}] source dynamic { real_obj | any } { mapped_obj [ interface [ ipv6 ]]} [ destination static  { mapped_obj | interface [ ipv6 ]} real_obj ] [ service   mapped_dest_svc_obj real_dest_svc_obj ] [ dns ] [ unidirectional ] [ inactive ] [ description desc ]

hostname(config)# nat (inside,outside) source dynamic MyInsNet NAT_POOL destination static Server1_mapped Server1 service MAPPED_SVC REAL_SVC

ダイナミック NAT を設定します。次のガイドラインを参照してください。

• インターフェイス：（トランスペアレント モードの場合に必須）実際のインターフェイスおよびマッピング インターフェイスを指定します。コマンドには、丸カッコを含める必要があります。ルーテッド モードでは、実際のインターフェイスおよびマッピング インターフェイスを指定しない場合、すべてのインターフェイスが使用されます。インターフェイスの 1 つまたは両方に any キーワードを指定することもできます。

• セクションおよび行：（任意）デフォルトでは、NAT ルールは、NAT テーブルのセクション 1 の末尾に追加されます（「NAT ルールの順序」を参照）。セクション 1 ではなく、セクション 3（ネットワーク オブジェクト NAT ルールの後ろ）にルールを追加する場合、 after-auto キーワードを使用します。ルールは、 line 引数を使用して、適切なセクションの任意の場所に挿入できます。

• 送信元アドレス：

– 実際のアドレス：ネットワーク オブジェクト、グループ、または any キーワードを指定します。

– マッピング アドレス：異なるネットワーク オブジェクトまたはグループを指定します。必要に応じて、次のフォールバック方式を設定できます。

インターフェイス PAT のフォール バック：（ルーテッド モードのみ） interface キーワードは、インターフェイス PAT のフォール バックをイネーブルにします。 ipv6 を指定すると、インターフェイスの IPv6 アドレスが使用されます。マッピング IP アドレスを使い果たすと、続いてマッピング インターフェイスの IP アドレスが使用されます。このオプションでは、 mapped_ifc に特定のインターフェイスを設定する必要があります。

（続き）

• 宛先アドレス（任意）：

– マッピング アドレス：ネットワーク オブジェクトまたはグループを指定します。ポート変換が設定されたスタティック インターフェイス NAT に限り、 interface キーワードを指定します。 ipv6 を指定すると、インターフェイスの IPv6 アドレスが使用されます。 interface を指定する場合は、必ず service キーワードも設定します。このオプションでは、 real_ifc に特定のインターフェイスを設定する必要があります。詳細については、「ポート変換を設定したスタティック インターフェイス NAT」を参照してください。

– 実際のアドレス：ネットワーク オブジェクトまたはグループを指定します。アイデンティティ NAT では、実際のアドレスとマッピング アドレスの両方に単に同じオブジェクトまたはグループを使用します。

• 宛先ポート：（任意）マッピングされたサービス オブジェクトおよび実際のサービス オブジェクトとともに、 service キーワードを指定します。アイデンティティ ポート変換では、実際のポートとマッピング ポートの両方に同じサービス オブジェクトを使用します。

• DNS：（オプション、送信元にのみ適用されるルール） dns キーワードは DNS 応答を変換します。DNS インスペクションがイネーブルになっていることを確認してください（デフォルトではイネーブルです）。 宛先 アドレスを設定する場合、 dns キーワードは設定できません。詳細については、「DNS および NAT」を参照してください。

• 単方向：（任意）宛先アドレスが送信元アドレスへのトラフィックを開始できないようにするには、 unidirectional を指定します。

• 非アクティブ：（任意）コマンドを削除する必要がなく、このルールを非アクティブにするには、 inactive キーワードを使用します。再度アクティブ化するには、 inactive キーワードを除いてコマンド全体を再入力します。

• 説明：（オプション） description キーワードを使用して、最大 200 文字の説明を入力します。

ステップ 1

次のネットワーク オブジェクトまたはグループを作成します。

• 送信元の実際のアドレス

• 送信元のマッピング アドレス

• 宛先の実際のアドレス

• 宛先のマッピング アドレス

「実際のアドレスおよびマッピング アドレスのネットワーク オブジェクトの追加」を参照してください。

すべての送信元トラフィックを変換する場合、送信元の実際のアドレスに対するオブジェクトの追加をスキップして、代わりに、 nat コマンドに any キーワードを指定できます。

インターフェイス アドレスをマッピング アドレスとして使用する場合は、送信元のマッピング アドレスに対するオブジェクトの追加をスキップして、代わりに、 nat コマンドに interface キーワードを指定できます。

ポート変換を設定した宛先のスタティック インターフェイス NAT のみを設定する場合は、宛先のマッピング アドレスに対するオブジェクトの追加をスキップして、代わりに、 nat コマンドに interface キーワードを指定できます。

ステップ 2

（任意）次のサービス オブジェクトを作成します。

• 宛先の実際のポート

• 宛先のマッピング ポート

「（任意）実際のポートとマッピング ポートのサービス オブジェクトの追加」を参照してください。

ステップ 3

nat [ ( real_ifc , mapped_ifc ) ] [ line  | { after-auto [ line ]}] source dynamic { real-obj | any } { mapped_obj [ interface [ ipv6 ]] | [ pat-pool mapped_obj [ round-robin ] [ extended ] [ flat  [ include-reserve ]] [ interface [ ipv6 ]] | interface [ ipv6 ]} [ destination static { mapped_obj | interface [ ipv6 ]} real_obj ] [ service   mapped_dest_svc_obj real_dest_svc_obj ] [ dns ] [ unidirectional ] [ inactive ] [ description desc ]

hostname(config)# nat (inside,outside) source dynamic MyInsNet interface destination static Server1 Server1 description Interface PAT for inside addresses when going to server 1

ダイナミック PAT（隠蔽） を設定します。次のガイドラインを参照してください。

• インターフェイス：（トランスペアレント モードの場合に必須）実際のインターフェイスおよびマッピング インターフェイスを指定します。コマンドには、丸カッコを含める必要があります。ルーテッド モードでは、実際のインターフェイスおよびマッピング インターフェイスを指定しない場合、すべてのインターフェイスが使用されます。インターフェイスの 1 つまたは両方に any キーワードを指定することもできます。

• セクションおよび行：（任意）デフォルトでは、NAT ルールは、NAT テーブルのセクション 1 の末尾に追加されます（「NAT ルールの順序」を参照）。セクション 1 ではなく、セクション 3（ネットワーク オブジェクト NAT ルールの後ろ）にルールを追加する場合、 after-auto キーワードを使用します。ルールは、 line 引数を使用して、適切なセクションの任意の場所に挿入できます。

• 送信元アドレス：

– 実際のアドレス：ネットワーク オブジェクト、グループ、または any キーワードを指定します。すべてのトラフィックについて実際のインターフェイスからマッピング インターフェイスに変換する場合は、 any キーワードを使用します。

– マッピング：次のいずれかを設定します。

- ネットワーク オブジェクト：ホスト アドレスを含むネットワーク オブジェクトを指定します。

- pat-pool ： pat-pool キーワードおよびネットワーク オブジェクトまたは複数のアドレスを含むグループを指定します。

- interface ：（ルーテッド モードのみ）インターフェイス PAT だけを使用するように interface キーワードを単独で指定します。 ipv6 を指定すると、インターフェイスの IPv6 アドレスが使用されます。PAT プールまたはネットワーク オブジェクトと一緒に指定した場合、 interface キーワードは、インターフェイス PAT のフォール バックをイネーブルにします。PAT IP アドレスを使い果たすと、マッピング インターフェイスの IP アドレスが使用されます。このオプションでは、 mapped_ifc に特定のインターフェイスを設定する必要があります。

（続き）

（続き）

PAT プールについて、次のオプションの 1 つ以上を指定できます。

-- ラウンド ロビン： round-robin キーワードは、PAT プールのラウンド ロビン アドレス割り当てをイネーブルにします。ラウンド ロビンを指定しなければ、デフォルトで PAT アドレスのすべてのポートは次の PAT アドレスが使用される前に割り当てられます。ラウンドロビン方式では、最初のアドレスに戻って再び使用される前に、2 番目のアドレス、またその次と、プール内の各 PAT アドレスからアドレス/ポートが割り当てられます。

-- 拡張 PAT： extended キーワードは、拡張 PAT をイネーブルにします。拡張 PAT では、変換情報の宛先アドレスとポートを含め、IP アドレスごとではなく、 サービス ごとに 65535 個のポートが使用されます。通常は、PAT 変換を作成するときに宛先ポートとアドレスは考慮されないため、PAT アドレスごとに 65535 個のポートに制限されます。たとえば、拡張 PAT を使用して、192.168.1.7:23 に向かう場合の 10.1.1.1:1027 の変換、および 192.168.1.7:80 に向かう場合の 10.1.1.1:1027 の変換を作成できます。

-- フラットな範囲： flat キーワードは、ポートの割り当て時に 1024 ～ 65535 のポート範囲全体の使用をイネーブルにします。変換のマッピング ポート番号を選択するときに、ASA によって、使用可能な場合は実際の送信元ポート番号が使用されます。ただし、このオプションを設定しないと、実際のポートが使用 できない 場合は、デフォルトで、マッピング ポートは実際のポート番号と同じポート範囲（1 ～ 511、512 ～ 1023、および 1024 ～ 65535）から選択されます。下位範囲でポートが不足するのを回避するには、この設定を行います。1 ～ 65535 の範囲全体を使用するには、 include-reserve キーワードも指定します。

（続き）

（続き）

• 宛先アドレス（任意）：

– マッピング アドレス：ネットワーク オブジェクトまたはグループを指定します。ポート変換を設定したスタティック インターフェイス NAT に限り（ルーテッド モード）、 interface キーワードを指定します。 ipv6 を指定すると、インターフェイスの IPv6 アドレスが使用されます。 interface を指定する場合は、必ず service キーワードも設定します。このオプションでは、 real_ifc に特定のインターフェイスを設定する必要があります。 詳細については、「ポート変換を設定したスタティック インターフェイス NAT」を参照してください。

– 実際のアドレス：ネットワーク オブジェクトまたはグループを指定します。アイデンティティ NAT では、実際のアドレスとマッピング アドレスの両方に単に同じオブジェクトまたはグループを使用します。

• 宛先ポート：（任意）実際のサービス オブジェクトおよびマッピングされたサービス オブジェクトとともに、 service キーワードを指定します。アイデンティティ ポート変換では、実際のポートとマッピング ポートの両方に同じサービス オブジェクトを使用します。

• DNS：（オプション、送信元にのみ適用されるルール） dns キーワードは DNS 応答を変換します。DNS インスペクションがイネーブルになっていることを確認してください（デフォルトではイネーブルです）。 宛先 アドレスを設定する場合、 dns キーワードは設定できません。詳細については、「DNS および NAT」を参照してください。

• 単方向：（任意）宛先アドレスが送信元アドレスへのトラフィックを開始できないようにするには、 unidirectional を指定します。

• 非アクティブ：（任意）コマンドを削除する必要がなく、このルールを非アクティブにするには、 inactive キーワードを使用します。再度アクティブ化するには、 inactive キーワードを除いてコマンド全体を再入力します。

• 説明：（任意） description キーワードを使用して、最大 200 文字の説明を入力します。

ステップ 1

次のネットワーク オブジェクトまたはグループを作成します。

• 送信元の実際のアドレス

• 送信元のマッピング アドレス

• 宛先の実際のアドレス

• 宛先のマッピング アドレス

「実際のアドレスおよびマッピング アドレスのネットワーク オブジェクトの追加」を参照してください。

ポート変換を設定した送信元のスタティック インターフェイス NAT のみを設定する場合は、送信元のマッピング アドレスに対するオブジェクトの追加をスキップして、代わりに、 nat コマンドに interface キーワードを指定できます。

ポート変換を設定した宛先のスタティック インターフェイス NAT のみを設定する場合は、宛先のマッピング アドレスに対するオブジェクトの追加をスキップして、代わりに、 nat コマンドに interface キーワードを指定できます。

ステップ 2

（任意）次のサービス オブジェクトを作成します。

• 送信元 または 宛先の実際のポート

• 送信元 または 宛先のマッピング ポート

「（任意）実際のポートとマッピング ポートのサービス オブジェクトの追加」を参照してください。

ステップ 3

nat [ ( real_ifc , mapped_ifc ) ] [ line  | { after-object [ line ]}] source   static real_ob [ mapped_obj  |  interface [ ipv6 ]] [ destination   static { mapped_obj | interface [ ipv6 ]} real_obj ] [ service   real_src_mapped_dest_svc_obj mapped_src_real_dest_svc_obj ][ net-to-net ] [ dns ] [ unidirectional | no-proxy-arp ] [ inactive ] [ description   desc ]

hostname(config)# nat (inside,dmz) source static MyInsNet MyInsNet_mapped destination static Server1 Server1 service REAL_SRC_SVC MAPPED_SRC_SVC

スタティック NAT を設定します。次のガイドラインを参照してください。

• インターフェイス：（トランスペアレント モードの場合に必須）実際のインターフェイスおよびマッピング インターフェイスを指定します。コマンドには、丸カッコを含める必要があります。ルーテッド モードでは、実際のインターフェイスおよびマッピング インターフェイスを指定しない場合、すべてのインターフェイスが使用されます。インターフェイスの 1 つまたは両方に any キーワードを指定することもできます。

• セクションおよび行：（任意）デフォルトでは、NAT ルールは、NAT テーブルのセクション 1 の末尾に追加されます。セクションの詳細については、「NAT ルールの順序」を参照してください。セクション 1 ではなく、セクション 3（ネットワーク オブジェクト NAT ルールの後ろ）にルールを追加する場合、 after-auto キーワードを使用します。ルールは、 line 引数を使用して、適切なセクションの任意の場所に挿入できます。

• 送信元アドレス：

– 実際のアドレス：ネットワーク オブジェクトまたはグループを指定します。

– マッピング アドレス：異なるネットワーク オブジェクトまたはグループを指定します。ポート変換を設定したスタティック インターフェイス NAT に限り、 interface キーワードを指定できます（ルーテッド モートのみ）。 ipv6 を指定すると、インターフェイスの IPv6 アドレスが使用されます。 interface を指定する場合、 service キーワードも設定します（この場合、サービス オブジェクトは送信元ポートだけを含む必要があります）。このオプションでは、 mapped_ifc に特定のインターフェイスを設定する必要があります。詳細については、「ポート変換を設定したスタティック インターフェイス NAT」を参照してください。

• 宛先アドレス（任意）：

– マッピング アドレス：ネットワーク オブジェクトまたはグループを指定します。ポート変換が設定されたスタティック インターフェイス NAT に限り、 interface キーワードを指定します。 ipv6 を指定すると、インターフェイスの IPv6 アドレスが使用されます。 interface を指定する場合、必ず service キーワードも設定します（この場合、サービス オブジェクトは宛先ポートだけを含む必要があります）。このオプションでは、 real_ifc に特定のインターフェイスを設定する必要があります。

– 実際のアドレス：ネットワーク オブジェクトまたはグループを指定します。アイデンティティ NAT では、実際のアドレスとマッピング アドレスの両方に単に同じオブジェクトまたはグループを使用します。

（続き）

• ポート：（任意）実際のサービス オブジェクトおよびマッピングされたサービス オブジェクトとともに、 service キーワードを指定します。送信元ポート変換の場合、オブジェクトは送信元サービスを指定する必要があります。送信元ポート変換のコマンド内のサービス オブジェクトの順序は、 service real_obj mapped_obj です。宛先ポート変換の場合、オブジェクトは宛先サービスを指定する必要があります。宛先ポート変換のサービス オブジェクトの順序は、 service mapped_obj real_obj です。オブジェクトで送信元ポートと宛先ポートの両方を指定することはほとんどありませんが、この場合には、最初のサービス オブジェクトに実際の送信元ポート/マッピングされた宛先ポートが含まれます。2 つめのサービス オブジェクトには、マッピングされた送信元ポート/実際の宛先ポートが含まれます。アイデンティティ ポート変換の場合は、実際のポートとマッピング ポートの両方（コンフィギュレーションに応じて、送信元ポート、宛先ポート、またはその両方）に同じサービス オブジェクトを使用するだけです。

• ネットツーネット：（任意）NAT 46 の場合は、 net-to-net を指定すると、最初の IPv4 アドレスが最初の IPv6 アドレスに、2 番目が 2 番目に、というように変換されます。このオプションを指定しない場合は、IPv4 埋め込み方式が使用されます。1 対 1 変換の場合は、このキーワードを使用する必要があります。

• DNS：（オプション、送信元にのみ適用されるルール） dns キーワードは DNS 応答を変換します。DNS インスペクションがイネーブルになっていることを確認してください（デフォルトではイネーブルです）。 宛先 アドレスを設定する場合、 dns キーワードは設定できません。詳細については、「DNS および NAT」を参照してください。

• 単方向：（任意）宛先アドレスが送信元アドレスへのトラフィックを開始できないようにするには、 unidirectional を指定します。

• No Proxy ARP：（任意）マッピング IP アドレスに着信したパケットのプロキシ ARP をディセーブルにするには、 no-proxy-arp を指定します。詳細については、「マッピング アドレスとルーティング」を参照してください。

• 非アクティブ：（任意）コマンドを削除する必要がなく、このルールを非アクティブにするには、 inactive キーワードを使用します。再度アクティブ化するには、 inactive キーワードを除いてコマンド全体を再入力します。

• 説明：（任意） description キーワードを使用して、最大 200 文字の説明を入力します。

ステップ 1

次のネットワーク オブジェクトまたはグループを作成します。

• 送信元の実際のアドレス（通常、送信元のマッピング アドレスと同じオブジェクトを使用します）

• 宛先の実際のアドレス

• 宛先のマッピング アドレス

「実際のアドレスおよびマッピング アドレスのネットワーク オブジェクトの追加」を参照してください。

すべてのアドレスに対してアイデンティティ NAT を実行する場合、送信元の実際のアドレスのオブジェクトの作成をスキップして、代わりに、 nat コマンドで any any キーワードを使用できます。

ポート変換を設定した宛先のスタティック インターフェイス NAT のみを設定する場合は、宛先のマッピング アドレスに対するオブジェクトの追加をスキップして、代わりに、 nat コマンドに interface キーワードを指定できます。

ステップ 2

（任意）次のサービス オブジェクトを作成します。

• 送信元 または宛先の実際のポート

• 送信元 または 宛先のマッピング ポート

「（任意）実際のポートとマッピング ポートのサービス オブジェクトの追加」を参照してください。

ステップ 3

nat [ ( real_ifc , mapped_ifc ) ] [ line  | { after-object [ line ]}] source   static { nw_obj   nw_obj | any any } [ destination static { mapped_obj | interface [ ipv6 ]} real_obj ] [ service   real_src_mapped_dest_svc_obj mapped_src_real_dest_svc_obj ] [ no-proxy-arp ] [ route-lookup ] [ inactive ] [ description desc ]

hostname(config)# nat (inside,outside) source static MyInsNet MyInsNet destination static Server1 Server1

アイデンティティ NAT を設定します。次のガイドラインを参照してください。

• インターフェイス：（トランスペアレント モードの場合に必須）実際のインターフェイスおよびマッピング インターフェイスを指定します。コマンドには、丸カッコを含める必要があります。ルーテッド モードでは、実際のインターフェイスおよびマッピング インターフェイスを指定しない場合、すべてのインターフェイスが使用されます。インターフェイスの 1 つまたは両方に any キーワードを指定することもできます。

• セクションおよび行：（任意）デフォルトでは、NAT ルールは、NAT テーブルのセクション 1 の末尾に追加されます。セクションの詳細については、「NAT ルールの順序」を参照してください。セクション 1 ではなく、セクション 3（ネットワーク オブジェクト NAT ルールの後ろ）にルールを追加する場合、 after-auto キーワードを使用します。ルールは、 line 引数を使用して、適切なセクションの任意の場所に挿入できます。

• 送信元アドレス：実際のアドレスとマッピング アドレスの両方にネットワーク オブジェクト、グループ、または any キーワードを指定します。

• 宛先アドレス（任意）：

– マッピング アドレス：ネットワーク オブジェクトまたはグループを指定します。ポート変換が設定されたスタティック インターフェイス NAT に限り、 interface キーワードを指定します（ルーテッド モードのみ）。 ipv6 を指定すると、インターフェイスの IPv6 アドレスが使用されます。 interface を指定する場合、必ず service キーワードも設定します（この場合、サービス オブジェクトは宛先ポートだけを含む必要があります）。このオプションでは、 real_ifc に特定のインターフェイスを設定する必要があります。詳細については、「ポート変換を設定したスタティック インターフェイス NAT」を参照してください。

– 実際のアドレス：ネットワーク オブジェクトまたはグループを指定します。アイデンティティ NAT では、実際のアドレスとマッピング アドレスの両方に単に同じオブジェクトまたはグループを使用します。

（続き）

• ポート：（任意）実際のサービス オブジェクトおよびマッピングされたサービス オブジェクトとともに、 service キーワードを指定します。送信元ポート変換の場合、オブジェクトは送信元サービスを指定する必要があります。送信元ポート変換のコマンド内のサービス オブジェクトの順序は、 service real_obj mapped_obj です。宛先ポート変換の場合、オブジェクトは宛先サービスを指定する必要があります。宛先ポート変換のサービス オブジェクトの順序は、 service mapped_obj real_obj です。オブジェクトで送信元ポートと宛先ポートの両方を指定することはほとんどありませんが、この場合には、最初のサービス オブジェクトに実際の送信元ポート/マッピングされた宛先ポートが含まれます。2 つめのサービス オブジェクトには、マッピングされた送信元ポート/実際の宛先ポートが含まれます。アイデンティティ ポート変換の場合は、実際のポートとマッピング ポートの両方（コンフィギュレーションに応じて、送信元ポート、宛先ポート、またはその両方）に同じサービス オブジェクトを使用するだけです。

• No Proxy ARP：（任意）マッピング IP アドレスに着信したパケットのプロキシ ARP をディセーブルにするには、 no-proxy-arp を指定します。詳細については、「マッピング アドレスとルーティング」を参照してください。

• ルート ルックアップ：（オプション、ルーテッド モードのみ、インターフェイスを指定）NAT コマンドに指定したインターフェイスを使用する代わりに、ルート ルックアップを使用して出力インターフェイスを決定するには、 route-lookup を指定します。詳細については、「出力インターフェイスの決定」を参照してください。

• 非アクティブ：（任意）コマンドを削除する必要がなく、このルールを非アクティブにするには、 inactive キーワードを使用します。再度アクティブ化するには、 inactive キーワードを除いてコマンド全体を再入力します。

• 説明：（任意） description キーワードを使用して、最大 200 文字の説明を入力します。