読者です 読者をやめる 読者になる 読者になる

APC 技術ブログ

株式会社エーピーコミュニケーションズ 先進サービス開発部の公式ブログです。

株式会社 エーピーコミュニケーションズシステム基盤エンジニアリング事業部の公式ブログです。

PaloAltoファイアウォールのNAT設定-Part1-

Firewall Palo Alto Networks

機器毎で設定や考え方が違う場合が多いNAT設定について記載します。

 

今回はPaloAltoのファイアウォールPAシリーズの「宛先NAT」について説明します。

 

構成

f:id:apc-sieg:20131010190620p:plain

 

サーバを公開したりする場合によくある構成です。

サーバAをグローバルIPアドレス「A.A.A.A」で公開しています。

「A.A.A.A」宛のトラフィックをサーバA「B.B.B.B」の実アドレスに宛先変換します。

 

PaloAltoの設定(NAT定義)

 

f:id:apc-sieg:20131010183651p:plain

 まず、NATポリシーの名前を入力します(①)。※最大半角31文字まで

 

 

f:id:apc-sieg:20131010184634p:plain

 次に送信元と宛先のゾーンを選択します(②)。ここでは変換前のゾーンを選択します。

インターネット側が「Untrust」ゾーンの場合は、送信元、宛先共に「Untrust」に設定します。

 

送信元アドレスと宛先アドレス(③)も変換前のアドレスを選択します。

インターネット側の全ユーザからのトラフィックを変換対象とする場合、

送信元:いずれか(ANY)、宛先:A.A.A.A

になります。

 

f:id:apc-sieg:20131010185153p:plain

 

 最後に"宛先アドレスの変換"にチェックを入れ、変換後のアドレス(B.B.B.B)を選択します。

宛先ポートも変換する場合は、"変換済みポート"にポート番号を入力します。

※変換前と同じポートの場合は無記入で問題ありません

 

 

PaloAltoの設定(ポリシー定義)

 NAT定義を行った通信をポリシーで許可する場合、ゾーンについてはNAT変換後の情報で設定します。

サーバA側のゾーンが「Trust」の場合、宛先ゾーン設定は「Trust」に設定します。

 

・NAT定義:Untrust→Untrust

・ポリシー定義:Untrust→Trust

 

宛先のアドレスは、NATアドレスの「A.A.A.A」を設定します。

※少しややこしいですね・・

送信元:Untrust(Any) →宛先:Trust(A.A.A.A)の通信を許可する・・・

のような定義となります。

 

 次回は送信元NATについて書こうと思います。

 

www.ap-com.co.jp

 

www.ap-com.co.jp