Citrix SD-WAN

ダイナミック NAT

ダイナミック NAT は、SD-WAN ネットワーク内のプライベート IP アドレスまたはサブネットを、SD-WAN ネットワーク外のパブリック IP アドレスまたはサブネットに多対 1 のマッピングです。LAN セグメント内の信頼できる (内部) IP アドレス経由の異なるゾーンおよびサブネットからのトラフィックは、単一のパブリック (外部) IP アドレス経由で送信されます。

ダイナミック NAT タイプ

ダイナミック NAT は、IP アドレス変換とともにポートアドレス変換(PAT)を行います。ポート番号は、どのトラフィックがどの IP アドレスに属しているかを識別するために使用されます。すべての内部プライベート IP アドレスに 1 つのパブリック IP アドレスが使用されますが、各プライベート IP アドレスには異なるポート番号が割り当てられます。PAT は、1 つのパブリック IP アドレスを使用して複数のホストがインターネットに接続できるようにする費用対効果の高い方法です。

  • ポートの制限:ポートの制限 NAT では、内部 IP アドレスとポートのペアに関連するすべての変換に同じ外部ポートが使用されます。このモードは、通常、インターネット P2P アプリケーションを許可するために使用されます。
  • 対称:対称 NAT は、内部 IP アドレス、内部ポート、外部 IP アドレス、および外部ポートタプルに関連するすべての変換に同じ外部ポートを使用します。通常、このモードは、セキュリティを強化したり、NAT セッションの最大数を拡張するために使用されます。

インバウンドおよびアウトバウンド NAT

接続の方向は、内側から外側、または外側から内側にできます。NAT ルールが作成されると、方向一致タイプに応じて両方の方向に適用されます。

  • Outbound: 宛先アドレスは、サービスで受信したパケットに対して変換されます。送信元アドレスは、サービス上で送信されるパケットに対して変換されます。発信ダイナミック NAT は、ローカル、インターネット、イントラネット、およびルーティング間ドメインサービスでサポートされます。インターネットサービスやイントラネットサービスなどの WAN サービスの場合、構成された WAN リンク IP アドレスが外部 IP アドレスとして動的に選択されます。ローカルおよびインタールーティングドメインサービスの場合は、外部 IP アドレスを指定します。Outside ゾーンは、選択したサービスから取得されます。アウトバウンドダイナミック NAT の一般的な使用例は、LAN 内の複数のユーザーが、単一のパブリック IP アドレスを使用してインターネットに安全にアクセスできるようにすることです。
  • Inbound: 送信元アドレスは、サービスで受信したパケットに対して変換されます。宛先アドレスは、サービス上で送信されるパケットに対して変換されます。インバウンドダイナミック NAT は、インターネットやイントラネットなどの WAN サービスではサポートされません。同じことを示す明示的な監査エラーがあります。インバウンドダイナミック NAT は、ローカルおよびインタールーティングドメインサービスでのみサポートされます。変換先の外部ゾーンと外部 IP アドレスを指定します。インバウンドダイナミック NAT の一般的な使用例は、外部ユーザーがプライベートネットワークでホストされている電子メールまたはウェブサーバーにアクセスできるようにすることです。

ダイナミック NAT ポリシーの設定

ダイナミック NAT ポリシーを設定するには、構成エディタで、[ 接続] > [ **ファイアウォール ] > [ ダイナミック NAT ポリシー ] に移動します**。

ダイナミック NAT ポリシー

  • [ Priority]: 定義されているすべてのポリシー内でポリシーが適用される順序。優先順位の低いポリシーは、優先順位の高いポリシーの前に適用されます。
  • 方向:仮想インターフェイスまたはサービスの観点から、トラフィックが流れている方向。インバウンドトラフィックまたはアウトバウンドトラフィックのいずれかになります。
  • タイプ:実行するダイナミック NAT のタイプ、ポート制限、またはシンメトリック。
  • サービスタイプ:ダイナミック NAT ポリシーが適用される SD-WAN サービスタイプ。インバウンドダイナミック NAT は、ローカルおよびインタールーティングドメインサービスでサポートされます。発信ダイナミック NAT は、ローカル、インターネット、イントラネット、およびルーティングドメインサービスでサポートされます。
  • 「サービス名」:「サービスタイプ」に対応する構成済サービス名を選択します。
  • Inside Zone:変換を許可するためにパケットが送信元である必要のある内部ファイアウォールゾーンの一致タイプ。
  • [ Outside Zone]:インバウンドトラフィックでは、変換を許可するためにパケットが送信元である必要のある外部ファイアウォールゾーン一致タイプを指定します。
  • 内部 IP アドレス:一致基準が満たされた場合に変換する必要がある内部 IP アドレスおよびプレフィクス。「*」と入力して、内部 IP アドレスを指定します。
  • 外部 IP アドレス:一致基準が満たされた場合に内部 IP アドレスが変換される外部 IP アドレスおよびプレフィクス。インターネットサービスおよびイントラネットサービスを使用する発信トラフィックでは、構成された WAN リンク IP アドレスが外部 IP アドレスとして動的に選択されます。
  • [ 関連を許可]: ルールに一致するフローに関連するトラフィックを許可します。たとえば、ポリシーに一致する特定のフローに関連する ICMP リダイレクション(フローに関連する何らかのタイプのエラーがある場合)。
  • IPsec パススルー:IPsec(AH/ESP)セッションの変換を許可します。
  • GRE/PPTP パススルー:GRE/PPTP セッションの変換を許可します。
  • ポートパリティ:有効の場合、NAT 接続の外部ポートはパリティを維持します(内部ポートが偶数であっても、外部ポートが奇数であれば奇数であっても)。
  • [ レスポンダールートのバインド]: 非対称ルーティングを回避するために、レスポンストラフィックが受信したのと同じサービスで送信されるようにします。

ポートフォワーディング

ポートフォワーディングを使用したダイナミック NAT では、特定のトラフィックを定義済みの IP アドレスにポート転送できます。これは、通常、Web サーバなどの内部ホストで使用されます。ダイナミック NAT を設定したら、ポートフォワーディングポリシーを定義できます。IP アドレス変換用のダイナミック NAT を設定し、外部ポートを内部ポートにマッピングするポートフォワーディングポリシーを定義します。ダイナミック NAT ポートフォワーディングは、通常、リモートホストがプライベートネットワーク上のホストまたはサーバーに接続できるようにするために使用されます。より詳細なユースケースについては、 Citrix SD-WANダイナミックNATの説明を参照してください

ポート転送規則

  • プロトコル:TCP、UDP、またはその両方。
  • 外部ポート:内部ポートにポート転送される外部ポート。
  • 内部 IP アドレス:一致するパケットを転送する内部アドレス。
  • Inside Port:外部ポートがポート転送される内部ポート。
  • フラグメント:フラグメント化されたパケットの転送を許可します。
  • [ Log Interval]:ポリシーに一致するパケット数を syslog サーバにロギングする間隔(秒)。
  • ログ開始: 選択すると、新しいフローに対して新しいログ・エントリが作成されます。
  • ログ終了: フローが削除されたときに、フローのデータを記録します。

    デフォルトの Log Interval の値である 0 は、ロギングがないことを意味します。

  • トラック: 双方向接続状態追跡は、規則に一致する TCP、UDP、および ICMP パケットに対して実行されます。この機能は、非対称ルーティングまたはチェックサムの失敗、プロトコル固有の検証のために、非合法に見えるフローをブロックします。状態の詳細は、[ 監視 ] > [ ファイアウォール] > [ **接続 ] の下に表示されます**。
  • トラッキングなし:双方向接続状態トラッキングは、ルールに一致するパケットでは実行されません。

すべてのポートフォワーディングルールには、親 NAT ルールがあります。外部 IP アドレスは、親 NAT ルールから取得されます。

自動作成されたダイナミック NAT ポリシー

インターネットサービスのダイナミック NAT ポリシーは、次の場合に自動的に作成されます。

  • 信頼できないインターフェイス(WAN リンク)でのインターネットサービスの設定
  • 単一の WAN リンク上のすべてのルーティングドメインに対するインターネットアクセスを有効にします。詳細については、「ファイアウォールのセグメンテーション を構成する」を参照してください
  • SD-WAN での DNS フォワーダーまたは DNS プロキシの設定詳細については、「 ドメインネームシステム」を参照してください

監視

ダイナミック NAT を監視するには、[ モニタリング ] > [ ファイアウォール統計] >[ 接続] に移動します。接続では、NAT が完了しているかどうかを確認できます。

接続

内部 IP アドレスと外部 IP アドレスのマッピングをさらに表示するには、[ 関連オブジェクト ]で [ **事前ルート NAT] または [ ポストルート NAT] をクリックするか、[ **監視]> [ ファイアウォール] に移動します。統計情報 > NAT ポリシー

次のスクリーンショットは、タイプシンメトリックダイナミック NAT 規則とそれに対応するポート転送規則の統計を示しています。

NAT ポリシー

ポート転送規則が作成されると、対応するファイアウォール規則も作成されます。

ファイアウォール規則

[ 監視]> [ ファイアウォールの統計]> [フィルタポリシー] に移動すると、 フィルタポリシーの統計情報が表示されます

フィルタポリシー

ログ

NAT に関連するログは、ファイアウォールログで表示できます。NAT のログを表示するには、NAT ポリシーに一致するファイアウォールポリシーを作成し、ファイアウォールフィルタでロギングが有効になっていることを確認します。

ロギング・オプション

[ ログ/監視]> [ ログオプション] に移動し、[ SDWAN_firewal.log] を選択して [ログの 表示] をクリックします

ログの表示

NAT 接続の詳細がログファイルに表示されます。

NAT ログの詳細

ダイナミック NAT