NATコントロールの定義

[アクセス ポリシー]>[ファイアウォールNAT]ページでは、外部へのトラフィックのNATを設定でき、またシステムに定義されているサーバの数を確認できます。サーバは[アクセス ポリシー]>[サーバ]ページで定義され、アクセスとNAT設定を指定したネットワーク オブジェクトとなります。これにより、ルーティングするIPアドレスがなくても、インターネットからアクセス可能なサーバを設定できます。このページで、NAT設定のサーバを設定することもできます。

外部へのトラフィックのNATを無効にするには(Hide NAT)

デフォルトでは、NATは外部へのトラフィックに設定されます。NATを無効にする必要がある場合、[ゲートウェイの外部IPアドレスで内部ネットワークを隠す]オフになっていることを確認してください。

重要 - Hide NAT機能をオフにすると、多くの場合、インターネット接続に問題が発生します。アプライアンスがインターネットにつながるオフィスのゲートウェイである場合は、ネットワーク担当者に必ず相談してからオフにしてください。

インターネットからルーティング可能なサーバを設定するには(NATのサーバ)

  1. [新しいサーバ(転送ルール)]をクリックします。

  2. サーバ ウィザードの使い方については、[アクセス ポリシー]>[サーバ]ページを参照してください。

  3. サーバ ウィザードの「アクセス」のステップで、このサーバにアクセス可能な場所を求められたら、いずれかのオプションを選択します。

  4. サーバ ウィザードのNATのステップで、該当するオプションを選択します。

    • [ゲートウェイの外部(パブリック)IPアドレス] - ポート転送によるアクセスを設定します。アプライアンスには、インターネット接続で設定する、外部のルーティング可能なIPアドレスがあります([デバイス]>[インターネット]ページ)。アプライアンスへのトラフィックのうち、ウィザードのステップ1でサーバ オブジェクトに設定したポートへのトラフィックは、サーバに転送されます。これにより、外部のルーティング可能なIPアドレスを使いながら、インターネットから組織(パブリック サーバ)へのトラフィックを許可します。

    • [別の(パブリック)IPアドレス] - 静的NATによるアクセスを設定します。ルーティング可能なIPアドレスをサーバ用に購入した場合は、アドレスのフィールドに入力します。残りの内部ネットワークがゲートウェイの外部IPアドレスで隠れている場合、この特定サーバは自身のアクセス可能なIPアドレスを使用します。ウィザードのステップ1で設定したとおり、該当するポートの特定のIPアドレスへのトラフィックは、このサーバに転送されます。

    • [サーバに設定されたIPアドレス (x.x.x.x) はパブリック] - このオプションは、[アクセス ポリシー]>[NATコントロール]ページの[ゲートウェイの外部IPアドレスで内部ネットワークを隠す]チェックボックスがオフになっている場合のみ、該当します (詳細は上記参照)。つまり、サーバにNATルールがない状態です。

  5. 同じポートを使う内部サーバが複数存在する場合、[リダイレクト元ポート]を選択して、インターネットからこのサーバにアクセスする際に使う別のポート番号を入力します。ここで入力するポート上のサーバに送られるトラフィックは、サーバのポートに転送されます。

  6. [アドレス変換したトラフィックをゲートウェイに戻す]はデフォルトでオンになっています。これにより、ローカル スイッチを経由して内部ネットワークからサーバの外部IPアドレスへのアクセスを許可します。発信元は[この Gateway]に変換されます。チェックボックスがオフの場合、発信元は「すべて」となり、スイッチを経由した内部ネットワークから外部IPアドレスへのアクセスはなくなります。

  7. [完了]をクリックします。

NAT設定のサーバを作成すると、1つ以上の対応するルールが自動的に生成されます。 このルールは、[自動生成転送ルール]セクションの[NATルール]に追加されます。[NATルールの表示]をクリックすると表示できます。ルールのコメントにはオブジェクト名が表示されます。オブジェクト名のリンクをクリックしてサーバのプロパティの[アクセス]タブを開くか、[サーバ]ページのリンクをクリックして[ファイアウォール サーバ]ページへ移動できます。

[詳細] - 手動NATルール

- ほとんどの場合、手動NATルールは必要ありません。経験豊富なネットワーク管理者でない場合は、このオプションを使用する必要はありません。

アドレス変換をより高度に設定するには、手動NATルールを定義します。NAT 接続のサーバが設定されている場合、手動のNATルールは適用されません。ただし、Hide NATがアクティブになっても、これらのルールは有効になります。

NATルールのフィールドには以下が含まれます。

ルール ベース フィールド

説明

元のソース

変換する接続のオリジナルのソースであるネットワーク オブジェクト(特定IPアドレス)またはネットワーク グループ オブジェクト(特定IPアドレス範囲)

元の宛先

変換する接続のオリジナルの宛先であるネットワーク オブジェクト(特定IPアドレス)またはネットワーク グループ オブジェクト(特定IPアドレス範囲)

元のサービス

変換する接続で使われるオリジナルのサービス

変換ソース

オリジナルのソース変換後となる、新しいソースであるネットワーク オブジェクトまたはネットワーク グループ オブジェクト

変換宛先

オリジナルの宛先変換後となる、新しい宛先であるネットワーク オブジェクトまたはネットワーク グループ オブジェクト

変換サービス

オリジナルのサービス変換後となる新しいサービス

新しいNATルールを作成するには

  1. [NATルール]の表がページに表示されない場合は、[NATルールの表示]リンクをクリックします。

  2. [新規]の横にある矢印をクリックします。

  3. ルールに指定可能な位置をいずれか1つクリックします。一番上、一番下、選択したルールの上、選択したルールの下があります。

    • ルールの概要文とデフォルト値

    • テーブル形式のルール ベース フィールド。

  4. ルール サマリのリンク、またはテーブルのセルをクリックして、ネットワーク オブジェクトを選択するか、ルール ベースのフィールド オプションを選択します。上述の説明を参照してください。

  5. [コメントの記入]フィールドには、ルールを説明するテキストを入力します(オプション)。このテキストは[NAT手動ルール]のルールの下にコメントとして表示されます。

  6. オリジナルのソースに複数のIPアドレス、IP範囲、ネットワークなどを含め、さらに変換したソースを1つのIPアドレスにする場合は、[複数ソースを変換ソースアドレスで隠す]を選択します。

    このオプションが選択されていない場合、[元のソース]にIP範囲を使用して、[変換ソース]に同じサイズの異なるIP範囲を使用できます。このルールにより、IPアドレスの変換が1つの範囲から順番に行われます(最初の範囲の最初のIPは2番目の範囲の最初のIP、というように)。

  7. [元の宛先IPアドレスのARPプロキシとして動作]を選択して、元の宛先のIPアドレスに送られたARPリクエストに対してゲートウェイが応答するように設定します。これは、IP範囲またはネットワークには適用されません。

  8. 適用をクリックします。

手動ルールを作成すると、手動NATルールのセクションのNATルール表に追加されます。

ルールを編集するには

[アクセス ポリシー ルール]では、自動生成されたルールの追跡オプションのみ編集できます。

  1. ルールを選択して、[編集]をクリックします。

  2. 必要に応じてフィールドを編集します。

  3. 適用をクリックします。

ルールを削除するには

  1. ルールを選択して、[削除]をクリックします。

  2. 確認メッセージで[はい]をクリックします。

ルールを有効/無効にするには

  1. ルール ベースに追加した、手動で定義したルールを無効にするには、ルールを選択して[無効]をクリックします。

  2. 一度無効にした、手動で定義したルールを有効にするには、ルールを選択して[有効]をクリックします。

ルールの順番を変更するには

- 変更できるのは、手動で定義したルールの順番のみです。

  1. 移動するルールを選択します。

  2. 移動する場所へドラッグアンドドロップします。