双方向 NAT オプションの設定について

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
How to Configure Email Alerts for System Logs
https://live.paloaltonetworks.com/t5/Learning-Articles/What-does-the-Bi-directional-NAT-Feature-Prov...

 

GUIにて Policies > NAT で送信元アドレスの変換の設定をする際、スタティック IPを選択すると "双方向" のチェック ボックス(訳注:PAN-OSのバージョンによってはラジオボタン)が表示されます。

 

詳細

以下はサーバーから外部へ接続するための双方向 NAT の設定であり、プライベート アドレス "A_private" とパブリック アドレス "A_public" を使用して送信元ゾーン "Inside" から宛先ゾーン "Outside" への送信元 NAT の例です。ユーザーのアウトバウンド トラフィックはプライベート アドレスからパブリック アドレスへ送信元 NAT が実施されます。"outside" ゾーンを含む全てのゾーンから "A_public" アドレス宛てのトラフィックに対しては "A_private" アドレスへの宛先 NAT が行われます:

Static Bi NAT.PNG.png

 

注: 双方向オプションを有効にするとファイアウォールは送信元 NAT と宛先 NAT の2つのルールを作成し、これらはデバイス上のNATルールとしてそれぞれカウントされます。双方向オプションによって作成された2つのルールは次のように記述されます:

  1. 送信元 NAT
    • 元のパケット:
      • 送信元ゾーン "Inside"、宛先ゾーン "Outside"、送信元アドレス "A_private"、宛先アドレス "ANY"
    • 変換済みパケット:
      • 送信元アドレスの変換 "スタティクIP"、変換後アドレス "A_public"
  2. 宛先 NAT
    • 元のパケット:
      • 送信元ゾーン "ANY" (Inside と Outside を含む全てのゾーン)、宛先ゾーン "Outside"、送信元アドレス "ANY"、宛先アドレス "A_public"
    • 変換済みパケット:
      • 宛先アドレスの変換の変換後アドレス "A_private"

 

双方向 NAT 変換の設定するには NAT ポリシー ルールの変換済みパケット タブを開きます。送信元アドレス変換の中にある変換タイプで "スタティックIP" を選択します。必要に応じて双方向 NAT オプションの有効/無効を設定します:

Static Bi option.PNG.png

双方向オプションを使用した場合、上記で記述したとおり NAT ポリシー数は2倍になります:

  1. オリジナルの送信元 NAT ポリシー
  2. 暗黙で作成される宛先 NAT ポリシー
  • 宛先 NAT ポリシーは上記の例の場合、以下のようになります:
    • 元のパケット:
      • 送信元ゾーン "ANY" 宛先ゾーン "Outside"
      • 送信元アドレス "ANY" 宛先アドレス "A_public"; オリジナル ルールの変換後宛先アドレス
    • 変換済みパケット:
      • 宛先アドレス "A_private"; オリジナル ルールの送信元アドレス

 

注: 双方向ルールによって作成された宛先 NAT ポリシーは元のパケット内の送信元ゾーンと送信元アドレスが "ANY" となります。ポリシーが双方向での送信元スタティック NAT として設定されると、意図しないトラフィックが NAT されることがあります。送信元/宛先 NAT ルールをきめ細かく制御したり、双方向 NAT が正しく動作していない場合にはこれらを個別に作成する必要があります。