SonicOS 7 ルールとポリシー --- TZ シリーズ用

Technical Documentation>  NAT ルール>  NAT ルール ポリシーの作成 例>  WAN IP アドレス経由の着信ポート アドレス変換
Table of Contents

WAN IP アドレス経由の着信ポート アドレス変換

これは、SonicOS が動作しているファイアウォール上に作成できる、より複雑な NAT ポリシーの 1 つで、ファイアウォールの WAN IP アドレスを使用して、複数の内部サーバにアクセスできるようになります。このポリシーが特に有効なのは、ISP から 1 つのパブリック IP アドレスしか提供されず、その IP アドレスをファイアウォールの WAN インターフェース (既定では X1 インターフェース) で使用する必要がある場合などです。

以下では、ファイアウォールの WAN IP アドレス経由で 2 台の内部ウェブ サーバへのパブリック アクセスを提供する設定を行います。各サーバは固有のユーザ定義ポートに接続されます。ポートがすべて一意である限り、3 つ以上を作成することが可能です。

ファイアウォールの WAN IP アドレスを使用して複数の内部サーバにアクセスできるようにするには、以下の手順に従います。

  1. サーバが応答する固有のパブリック ポートに対応する 2 つのユーザ定義サービス オブジェクトを作成します。次を参照してください。 .
  2. サーバのプライベート IP アドレスに対応する 2 つのアドレス オブジェクトを作成します。次を参照してください。 .
  3. 2 つの NAT ポリシーを作成して、2 台のサーバがパブリック インターネットへのトラフィックを開始できるようにします。次を参照してください。 .
  4. 2 つの NAT ポリシーを作成して、個別ポートを実際のリスニング ポートに割り付け、各サーバのプライベート IP アドレスをファイアウォールの WAN IP アドレスに割り付けます。次を参照してください。受信 NAT ポリシーの作成.
  5. 2 つのアクセス ルールを作成して、任意のパブリック ユーザが、ファイアウォールの WAN IP アドレス経由で両方のサーバ、および各サーバの固有の個別ポートに接続できるようにします。次を参照してください。 .

WAN IP アドレス経由の着信ポート アドレス変換ポリシーを作成するには、以下の手順に従います。

サービスの作成

  1. オブジェクト | 一致オブジェクト > サービス」ページに移動します。
  2. 追加」を選択します。「サービスの追加」ダイアログが表示されます。
  3. 2 つのサービス オブジェクトを作成します。「名前」に対して、servone_public_portservtwo_public_port などのユーザ定義サービス オブジェクト名を入力します。
  4. それぞれについて、「プロトコル」として「TCP(6)」を選択します。
  5. 9100servone_public_port の開始および終了ポートとして入力します。
  6. 9200 servtwo_public_port の開始および終了ポートとして入力します。

  7. それぞれのユーザ定義サービスを設定した後は、「保存」ボタンをクリックしてユーザ定義サービスを保存します。

  8. 両方のユーザ定義サービスを設定したら、「閉じる」をクリックします。

アドレスの作成

  1. オブジェクト | 一致オブジェクト > アドレス」ページに移動します。2 つのアドレス オブジェクトを作成します。
  2. + 追加」をクリックします。「アドレス オブジェクト設定」ダイアログが表示されます。
  3. 名前」に対して、servone_private_ipservtwo_private_ip などのユーザ定義アドレス オブジェクト名を入力します。
  4. ゾーンの割り当て」ドロップダウン メニューで、サーバが配置されているゾーンを選択します。
  5. 「種別」ドロップダウン メニューで「ホスト」を選択します。
  6. IP アドレス」フィールドにサーバのプライベート IP アドレスを入力します。

  7. それぞれのアドレス オブジェクトを設定した後は、「保存」をクリックしてアドレス オブジェクトを作成します。

  8. 両方のアドレス オブジェクトを設定したら、「閉じる」をクリックします。

発信 NAT ポリシーの作成

  1. ポリシー | ルールとポリシー > NAT ルール」ページに移動します。
  2. + 名前」をクリックします。「NAT ポリシーの追加」ダイアログが表示されます。

  3. 2 つの NAT ポリシーを作成して、両方のサーバがファイアウォールの WAN IP アドレスを使用してパブリック インターネットへのトラフィックを開始できるようにするには、表に示す 2 つのオプション セットを設定します (「 」の表を参照)。

    オプションの選択: インターネットへのトラフィックを開始する 2 台のサーバ
    オプション サーバ 1 の値 サーバ 2 の値
    変換前の送信元 servone_private_ip servtwo_private_ip
    変換後の送信元 WAN Interface IP WAN Interface IP
    変換前の送信先 すべて すべて
    変換後の送信先 変換前 変換前
    変換前のサービス すべて すべて
    変換後のサービス 変換前 変換前
    着信インターフェース X3 X3
    発信インターフェース X1 X1
    コメント 簡単な説明を入力 簡単な説明を入力
    NAT ポリシーを有効にする オン オン
    再帰ポリシーを作成する (淡色表示) (淡色表示)

  4. サーバごとに NAT ポリシーを設定した後は、「追加」をクリックして、その NAT ポリシーを追加し���有効にします。

  5. 両方の NAT ポリシーを設定したら、「閉じる」をクリックします。

    これらのポリシーを適用すると、ファイアウォールは、インターフェース (既定では X1 インターフェース) からのトラフィック開始時に、サーバのプライベート IP アドレスをパブリック IP アドレスに変換します。

受信 NAT ポリシーの作成

  1. もう一度「ポリシー | ルールとポリシー > NAT ルール」ページで「+ 追加」をクリックします。「NAT ポリシーの追加」ダイアログが表示されます。

  2. ユーザ定義ポートを両方のサーバの実際のリスニングポートにマップし、ファイアウォールの WAN IP アドレスをサーバのプライベート アドレスにマップする 2 つの NAT ポリシーを作成するには、表に示している 2 つのオプション セットを設定します (「オプションの選択: 「サーバへの個別ポートの割付」の表を参照)。

    オプションの選択: サーバへの個別ポートの割付
    オプション サーバ 1 の値 サーバ 2 の値
    変換前の送信元 すべて すべて
    変換後の送信元 変換前 変換前
    変換前の送信先 WAN Interface IP WAN Interface IP
    変換後の送信先 servone_private_ip servtwo_private_ip
    変換前のサービス servone_public_port servtwo_public_port
    変換後のサービス HTTP HTTP
    着信インターフェース X1 X1
    発信インターフェース すべて

    すべて

    送信先インターフェースの設定では、サーバが接続されているインターフェースを指定するのではなく、必ず「すべて」を選択してください。

    コメント 簡単な説明を入力 簡単な説明を入力
    NAT ポリシーを有効にする オン オン
    再帰ポリシーを作成する 消去 消去

  3. サーバごとに NAT ポリシーを設定した後は、「保存」をクリックして、その NAT ポリシーを追加して有効にします。

  4. 両方の NAT ポリシーを設定したら、「閉じる」をクリックします。

アクセス ルールの作成

  1. ポリシー | ルールとポリシー > アクセス ルール」ページに移動します。
  2. + ルールの追加」をクリックします。「アクセス ルールの作成」ウィザードが表示されます。

  3. パブリック インターネットのすべてのユーザが個別ポートとファイアウォールの WAN IP アドレスを使用して 2 台のウェブ サーバにアクセスできるようにするためのアクセス ルールを作成するには、表に示されている 2 つのオプションを設定します (「 」の表を参照)。

    オプションの選択: アクセス ルールの作成
    オプション サーバ 1 の値 サーバ 2 の値
    動作 許可 許可
    変更前: WAN WAN
    変更後: サーバに割り当てられたゾーン サーバに割り当てられたゾーン
    送信元ポート すべて すべて
    サービス servone_public_port servtwo_public_port
    送信元 すべて すべて
    送信先 WAN Interface IP WAN Interface IP
    包含ユーザ すべて すべて
    除外ユーザ なし なし
    スケジュール 常に有効 常に有効
    ログ オン オン
    コメント 簡単な説明を入力 簡単な説明を入力

  4. サーバごとにアクセス ルールを設定した後は、「保存」をクリックして、そのアクセス ルールを追加して有効にします。

  5. 両方のアクセス ルールを設定したら、「閉じる」をクリックします。

テストと検証

確認するには、パブリック インターネット上に配置されているシステムを使用して、新しいカスタム ポートでファイアウォールの WAN IP アドレス経由でウェブ サーバにアクセスしてください (例: http://67.115.118.70:9100 and http://67.115.118.70:9200). 正常に接続できるはずです。接続不可の場合は、このセクションとを調べて、必要なすべての項目を正しく設定したことを確認します。