ダイナミック NAT の設定

ダイナミック NAT は、ユーザが信頼できないポートで LAN セグメントからインターネットにトラフィックを転送する場合に使用されます。この場合、ユーザは NAT をアウトバウンド方向に設定し、対応するフィルタポリシーが定義されていることを確認して、トラフィックのバックインを許可します。デフォルトでは、ダイナミック NAT が設定されると、システムは 3 つのフィルタポリシーを追加します。

これらのポリシーは、次のことを行います。

  • [任意の IPHost ルート]、[任意のゾーン]、[すべての送信元と宛先] を許可します。

  • 内部ネットワークから開始されたセッションの逆トラフィックに対して、一致確立ルールを許可します。

  • は、送信元ゾーンから宛先ゾーン(ゾーン固有)への他のすべてのトラフィックをドロップします。

次のスクリーンショットは、ダイナミック NAT 設定の設定オプションを示しています。

ローカライズされた画像

構成オプション

  • Priority :定義されたすべてのポリシー内でポリシーが適用される順序。優先順位の低いポリシーは、優先順位の高いポリシーの前に適用されます。

  • 方向 :変換が動作する仮想インターフェイスまたはサービス観点からの方向。

  • Outbound :パケットの宛先アドレスは、サービスで受信したパケットに対して変換されます。送信元アドレスは、サービス上で送信されるパケットに対して変換されます。

たとえば、LAN サービスからインターネットサービスへの送信(LAN からインターネット)の場合、送信元 IP アドレスが変換されます。受信パケットまたは受信パケット(インターネットから LAN)では、宛先 IP アドレスが変換されます。

  • Inbound -パケットの送信元アドレスは、サービスで受信したパケットに対して変換されます。宛先アドレスは、サービス上で送信されるパケットに対して変換されます。

たとえば、インターネットサービスから LAN サービスへ — インターネットサービスで受信したパケットの場合、送信元 IP アドレスが変換されます。インターネットサービス上で送信されるパケットの場合、宛先 IP アドレスが変換されます。

  • Type :実行するダイナミック NAT のタイプ。

    • ポート制限-ポート制限NAT は、ほとんどのコンシューマグレードのGateway ルータが使用するものです。通常、インバウンド接続は、ポートが内部アドレスに転送されない限り許可されません。アウトバウンド接続では、同じリモート IP およびポートからのリターントラフィックが許可されます(これはエンドポイントに依存しないマッピングと呼ばれます)。この要件により、ポート制限 NAT ファイアウォールは 65535 の同時セッションに制限されますが、ホールパンチと呼ばれる頻繁に使用されるインターネット技術が容易になります。

    • 対称型 — 対称型 NAT は、エンタープライズ NAT と呼ばれることもあります。これは、より大きい NAT スペースを可能にし、変換を予測しにくくすることでセキュリティを強化するためです。通常、インバウンド接続は、ポートが内部アドレスに転送されない限り許可されません。アウトバウンド接続では、同じリモート IP およびポートからのリターントラフィックが許可されます。同じ内部 IP およびポートからの接続は、同じ外部 IP およびポートにマッピングする必要があります(これはエンドポイント依存マッピングと呼ばれます)。このモードは、穴のパンチングを明示的に防止します。

  • サービスタイプ :SD-WAN サービスを参照します。スタティック NAT の場合は、ローカル(アプライアンス)、イントラネット、インターネットが含まれます。

  • [Service Name] :上記で定義したサービスタイプに対応する特定のサービス名。

  • [Inside Zone ]:NAT を必要とするパケットの内部ゾーンを選択します。

  • 内部 IP アドレス -NAT を必要とするトラフィックに基づいて IP ホストアドレスまたはサブネットを定義します。これは、内部ゾーンに存在する IP アドレスである必要があります。

  • Allow Rel ated:ルールに一致するフローに関連するトラフィックを許可します。たとえば、ポリシーに一致した特定のフローに関連する ICMP リダイレクション(フローに関連する何らかのタイプのエラーがあった場合)。

  • IPsec パススルー :IPsec トラフィックを変更せずに通過できるようにします。

  • GRE/PPTP Passthrough– GRE または IPsec を変更せずにパススルーできるようにします。

  • ポートパリティ -NAT 接続のパリティを許可します。

ダイナミック NAT の設定