Manual NATルールの操作

一部の導入では、NATルールを手動で定義する必要があります。

例：

特定の宛先IPアドレスと特定の送信元IPアドレスに制限されたルール
同一パケット内でソースIPアドレスと宛先IPアドレスの両方を変換すること。
片方向のみの静的NAT
翻訳サービス（デスティネーション・ポート）
指定したサービス（ポート）のみを利用するルール
動的オブジェクトのIPアドレスの変換

Manual NATルールを使用する場合の一般的なワークフロー：

valid (NATed) IPアドレスを使用するSmartConsoleオブジェクトを作成します。
Manual NATルールを作成し、オブジェクトの元のIPアドレスを有効なIPアドレスに変換する。
有効なIPアドレスを持つ該当するトランスレーションオブジェクトへのトラフィックを許可するように、アクセスコントロールポリシーを設定する。

注- Manual NATルールの場合、変換されたIPアドレスを関連付けるためにプロキシARPエントリを設定する必要があります。参照: 自動およびプロキシ ARP。

Manual NATルールの例

いいえ	元のソース	元の宛先	元のサービス	変換ソース	変換宛先	変換サービス	インストール	コメント
1	HTTP_Client	Web_Server	`http`	`= Original`	_S Web_Server	`= Original`	`Policy Targets`

手動NATの設定

手順

左のナビゲーションツリーから、Security Policiesをクリックします。
Access Control >NAT をクリックする：
以下のいずれかの方法で新しいルールを追加する：
- 一番上のツールバーから、Add Rule アイコン（一番左のアイコン）をクリックします。
- 既存のManual NATルールがある場合は、該当するルールのNo. カラムで右クリックし、New Rule 行で、Above またはBelow をクリックします。
新しいルールで、必要なオブジェクトを選択し、必要な変換を設定する。

必要なオブジェクトが存在しない場合は、選択ウィンドウで作成することができます（右上隅で、New ）をクリックします。
アクセスコントロールポリシーをインストールします。

デプロイメント例

例

この設定例では、DMZネットワーク内の内部Webサーバと内部メールサーバに、外部コンピュータが1つのIPアドレスからアクセスできるようにする方法を示しています。

これを行うには、DMZネットワークオブジェクトにHide NATを設定し、サーバ用にManual NATルールを作成する必要があります。

項目	説明
1	インターネット上の外部のコンピュータやサーバ
2	セキュリティゲートウェイ（Alaska_GW、外部IPv6 2001:db8:0:c::1）
3	DMZネットワーク（Alaska_DMZ、IPv6 2001:db8:a::/128）
4	Webサーバ（Alaska_DMZ_Web、IPv6 2001:db8:a::35:5はIPv6 2001:db8:0:c::1に変換されます。）
5	メールサーバ（Alaska_DMZ_Mail、IPv6 2001:db8:a::35:6はIPv6 2001:db8:0:c::1に変換される）

設定手順：

DMZネットワークにAutomatic Hide NATを設定する：

ネットワークオブジェクトAlaska_DMZ をダブルクリックします。
左から、NAT をクリックします。
Add Automatic Address Translation Rulesを選択します。
Translation methodで、Hideを選択します。
Hide behind Gatewayを選択します。
クリックOK。

管理サーバは、[Security Policies] ビュー >Access Control >NAT で、これらの自動 NAT ルールを作成します：

No.	元のソース	元の宛先	元のサービス	変換ソース	変換宛先	変換サービス	インストール	コメント
1	Alaska_DMZ	Alaska_DMZ	`Any`	`= Original`	`= Original`	`= Original`	`Policy Targets`
2	Alaska_DMZ	`Any`	`Any`	_H Alaska_DMZ (アドレス非表示)	`= Original`	`= Original`	`Policy Targets`

受信HTTPトラフィックを内部Webサーバに変換するManual NATルールを作成する：

SmartConsole で、Security Policies view >Access Control >NAT を開きます。
既存の自動NATルールの下に新しいルール（#3）を追加する。

これらのオブジェクトを選択する：

No.	元のソース	元の宛先	元のサービス	変換ソース	変換宛先	変換サービス	インストール
1	Alaska_DMZ	Alaska_DMZ	`Any`	`= Original`	`= Original`	`= Original`	`Policy Targets`
2	Alaska_DMZ	`Any`	`Any`	_H Alaska_DMZ (アドレス非表示)	`= Original`	`= Original`	`Policy Targets`
3	`Any`	Alaska_GW	`http`	`= Original`	_S Alaska_DMZ_Web	`= Original`	`Policy Targets`

受信SMTPトラフィックを内部メールサーバに変換するManual NATルールを作成する：

既存のNATルールの下に新しいルール（#4）を追加する。

これらのオブジェクトを選択する：

No.	元のソース	元の宛先	元のサービス	変換ソース	変換宛先	変換サービス	インストール
1	Alaska_DMZ	Alaska_DMZ	`Any`	`= Original`	`= Original`	`= Original`	`Policy Targets`
2	Alaska_DMZ	`Any`	`Any`	_H Alaska_DMZ (アドレス非表示)	`= Original`	`= Original`	`Policy Targets`
3	`Any`	Alaska_GW	`http`	`= Original`	_S Alaska_DMZ_Web	`= Original`	`Policy Targets`
4	`Any`	Alaska_GW	`smtp`	`= Original`	_S Alaska_DMZ_Mail	`= Original`	`Policy Targets`

内部サーバへのHTTPおよびSMTPトラフィックの着信を許可するアクセス制御ルールを作成する：

SmartConsole で、Security Policies >Access Control >NAT と進みます。
3. 新しいルールを追加します。

これらのオブジェクトを選択する：

いいえ	名前	発信元	宛先	VPN	サービス&アプリケーション	アクション	追跡	インストール
...	内部サーバへのHTTPおよびSMTPトラフィックの着信	`Any`	Alaska_DMZ	`Any`	`http` `smtp`	`Accept`	`Log`	`Policy Targets`

いいえ

名前

発信元

宛先

VPN

サービス&アプリケーション

アクション

追跡

インストール

...

内部サーバへのHTTPおよびSMTPトラフィックの着信

Any

Alaska_DMZ

Any

http

smtp

Accept

Log

Policy Targets

アクセスコントロールポリシーをインストールします。