SonicOS 7 ルールとポリシー --- TZ シリーズ用

Technical Documentation>  NAT ルール>  NAT ルール ポリシーの作成 例>  1 対 1 の NAT ポリシーによる着信ポート アドレス変換
Table of Contents

1 対 1 の NAT ポリシーによる着信ポート アドレス変換

このタイプの NAT ポリシーは、内部サーバの実際のリスニング ポートを隠して、別のポートでのサーバへのパブリック アクセスを可能にしたい場合に便利です。以下の例では、別のポート (TCP 9000) 用のサービス オブジェクトを作成したうえで、「着信トラフィック用の 1 対 1 の NAT ポリシーの作成」セクションで作成した NAT ポリシーとルールを変更して、パブリック ユーザがパブリック IP アドレスを通じてプライベート ウェブ サーバに接続できるようにします。その接続には、標準の HTTP ポート (TCP 80) ではなく、作成したポートを使用します。

着信ポート アドレス変換のための 1 対 1 のポリシーを作成するには、以下の手順に従います。

  1. オブジェクト | 一致オブジェクト > サービス」ページに移動します。このページでは、使用する非標準ポートのユーザ定義サービスを作成します:

  2. サービス オブジェクト」ビューで「+ 追加」を選択して、「サービス オブジェクト」ダイアログを表示します。

  3. ユーザ定義サービスに webserver_public_port などのわかりやすい名前を付けます。

  4. プロトコル」ドロップダウン メニューで「TCP(6)」を選択します。

  5. ポート範囲」の場合、両方のフィールドに9000をサービスの開始および終了ポート番号として入力します。

  6. 設定が完了したら、「追加」をクリックしてユーザ定義サービスを保存し、「閉じる」をクリックします。

    • サービス オブジェクト」画面が更新されます。

  7. ポリシー | ルールとポリシー > NAT ルール」ページに移動します。

    着信トラフィック用の 1 対 1 の NAT ポリシーの作成」セクションで作成した、パブリック ユーザがパブリック IP アドレスを通じてプライベート ウェブ サーバに接続できるようにする NAT ポリシーを変更します。

  8. NAT ポリシーの横の「編集」アイコンをクリックします。「NAT ポリシーの編集」ダイアログが表示されます。

  9. 表に示されているオプションを使用して NAT ポリシーを編集します (「 オプションの選択: 1 対 1 の NAT ポリシーによる着信ポート アドレス変換 」の表を参照)。

    オプションの選択: 1 対 1 の NAT ポリシーによる着信ポート アドレス変換
    オプション
    変換前の送信元 すべて
    変換後の送信元 変換前
    変換前の送���先 webserver_public_ip
    変換後の送信先 webserver_private_ip
    変換前のサービス webserver_public_port (または上記で付けた任意の名前)
    変換後のサービス HTTP
    着信インターフェース X1
    発信インターフェース すべて
    コメント 簡単な説明を入力
    NAT ポリシーを有効にする オン

着信インターフェースの設定では、サーバが接続されているインターフェースを指定するのではなく、必ず「すべて」を選択してください。これは直観に反しているように思われるかもしれませんが、正しい設定です (インターフェースを指定しようとすると、エラーが発生します)。

  1. OK」をクリックし、「閉じる」をクリックします。
  2. このポリシーを適用すると、ファイアウォールは、WAN インターフェース (既定では X1 インターフェース) 経由での接続要求の到着時に、サーバのパブリック IP アドレスをプライベート IP アドレスに変換し、要求されたポート (TCP 9000) をサーバの実際のリスニング ポート (TCP 80) に変換します。
  3. 最後に、前のセクションで作成したファイアウォール アクセス ルールを変更して、すべてのパブリック ユーザがサーバの実際のリスニング ポート (TCP 80) の代わりに新しいポート (TCP 9000) でウェブ サーバに接続できるようにします。
  4. ポリシー | ルールとポリシー > NAT ルール」ページに移動し、webserver_public_ip 用のルールを探します。
  5. 編集」アイコンを選択し、「ルールの編集」ダイアログでルールを表示します。

  6. 表に示すように値を編集します (「 オプションの選択: 1 対 1 の NAT ポリシー ルールによる着信ポート アドレス変換 」の表を参照)。

    オプションの選択: 1 対 1 の NAT ポリシー ルールによる着信ポート アドレス変換
    オプション
    動作 許可
    サービス webserver_public_port (または任意の名前)
    送信元 すべて
    送信先 webserver_public_ip
    許可ユーザ すべて
    スケジュール 常に有効
    ログ オン
    コメント 簡単な説明を入力
  7. OK」をクリックします。

確認するには、パブリック インターネット上に配置されているシステムを使用して、新しいカスタム ポートでウェブ サーバのパブリック IP アドレスにアクセスしてください (例: http://67.115.118.70:9000). 正常に接続できるはずです。接続不可の場合は、このセクションを調べて、必要なすべての項目を正しく設定したことを確認します。