Uターン NAT の設定方法

Printer Friendly Page

※この記事は以下の記事の日本語訳です。

How to Configure U-Turn NAT
https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-U-Turn-NAT/ta-p/61889

 

概要

“Uターン” とは外部アドレスが解決される内部リソースにアクセスするときに、トラフィックが引き返すように見える論理パスを指します。Uターン NAT とは内部ユーザーがサーバーの外部パブリック IP アドレスを使用して内部サーバーにアクセスする際に必要なネットワークのことを指します。

詳細

例として、内部 Web サーバーはサーバーの外部パブリック インターネット アドレスを指す DNS レコードを使用してします。

 

外部ユーザーがアドレスを解決すると、ファイアウォールの外部インターフェイスに接続し、そのセッションはファイアウォールで変換されて制御されます。、物理サーバーをユーザーの内部サブネットまたは内部アドレスを持つ DMZ に配置しても、同じ FQDN に接続する内部ユーザーは外部アドレスに接続します。

 

NAT ルールを設定する際は、送信元と宛先のゾーンは、送信元および宛先 IP アドレスが属するゾーンに対応するように設定する必要があります。対照的にセキュリティ ルールのゾーンは実際の送信元、宛先によって決定されますが、オリジナル パケットの宛先 IP アドレスをリストしています。

 

  • 外部ユーザーがインターネットから Web サーバーにアクセスすることを可能にする、通常のインバウンド NAT とセキュリティ ルールは次のとおりです:
    Inbound.PNG.png
    Security Inbound.PNG.png

注: ユーザーがセキュリティ ポリシーで 80 と 443 番ポートに制限したくない場合はサービスの設定を "any" とし、ユーザーがセキュリティ ポリシーでアプリケーション web-browsing に対応する 80 番ポートのみ使用したい場合はアプリケーション デフォルトを設定します。

 

  • 以下ではLAN上のホストと、ホストと同じゾーンにあるWebサーバのための Uターン NAT ルールやセキュリティの例を示します:

dai2.jpg

    • 同じゾーンのための Uターン NAT ルール
    • トラフィックの送信元ゾーンが最終的に同じゾーンに紐付けられるため、セキュリティ ルールは必要ありません。

Screen Shot 2015-05-12 at 1.08.35 PM.png

 

  • 以下は別のゾーンにあるホストと Web サーバーのための Uターン NAT とセキュリティの例です:

dai.JPG

    • 異なるゾーン用の Uターン NAT のための NAT ルールは同じゾーン用の NAT とは異なり、ソースNATは必要ありません(パケットの流れで非対称性がないため)が、このルールは通常のアウトバウンド NAT の上に配置する必要があります:

2015-10-22_10-00-12.png

    • Uターン NAT のためのセキュリティ ルール:

Security Different Zone.PNG.png

 

 

タグ(1)