ナレッジドキュメント

※この記事は以下の記事の日本語訳です。 Getting Started: Layer 3 Subinterfaces https://live.paloaltonetworks.com/t5/Featured-Articles/Getting-Started-Layer-3-Subinterfaces/ta-p/67395   ファイアウォールを開梱して、Vlan(サブ・インターフェイス)の設定をしたい     現在、新しいパロアルトネットワークス・ファイアウォールが起動して、動作している状況です。作成した様々なLayer 3サブ・インターフェイスにタグ付けしたVLANを追加してみましょう。一連の導入設定ガイドでは、ファイアウォールの箱を開梱し、ソフトウェアのアップグレード、VWireもしくはLayer3モードの設定が終わった後の最初のステップについて記述しています。 I've unpacked my firewall, now what?  と  I've unpacked my firewall and did what you told me, now what?  を参照してください。   あなたの組織では、インターネット上のWeb Serverとユーザのワークステーションを分けるために複数のネットワークセグメントが存在しているかもしれません。これらのネットワークが相互に通信するのを防ぐには、コアスイッチにVLANを実装し、両方のバーチャルネットワークを接続するブリッジやゲートウェイなしで、1つのVLANにあるホストが別のVLANにあるホストと通信できないようにします。   まず、前回の導入設定ガイドの続きから見ていきましょう。ファイアウォールにはLayer3インターフェイスがあり、トランクインターフェイスと通信できるようにTrustインターフェイスを変更する予定です。   レギュラーもしくはアクセス・スイッチポートとトランク・スイッチポートの違いは、アクセス・ポートがいかなるパケットでもイーサネットヘッダーを改ざんしないのに対して、トランク・ポートは IEEE 802.1Q ヘッダーの形式でVLANタグを付加することです。これにより、パケットはスイッチ外でVLAN情報を保持し、これらのパケットを受信する次のホストによって違うLANネットワークとして扱われることが保証されます。   interface GigabitEthernet1/36  switchport  switchport access vlan 100  switchport mode access  switchport nonegotiate  spanning-tree portfast ...reconfigure... interface GigabitEthernet1/36  switchport  switchport trunk allowed vlan 100,200  switchport mode trunk  switchport nonegotiate spanning-tree portfast インターフェイス設定を、VLANタグ設定のサブインターフェイスに変更します。   1. サブインターフェイス設定   最初に物理ファイアウォールからIP設定を削除します。 Networkタブに移動。 左パネルのInterfacesに移動。 Interface設定を開く。 IPv4タブを開く。 ネットワークアドレスを選択。 Deleteをクリック。   サブインターフェイスを追加する準備ができました。   サブインターフェイス設定では、インターフェイス番号とタグを割り当てます。タグはVLANと一致している必要がありますが、インターフェイス番号は違っても構いません。管理を容易にするために、双方を同じにしたほうがよいでしょう。そしてインターフェイスをDefault Virtual Routerに割り当て、Trustセキュリティ・ゾーンに設定します。     次に、IPv4タブに移って、インターフェイスにIPアドレスを追加します。   次に、Advancedタブに移り、Management Profileで'ping'を選択します。     次に、Webサーバーを次の図のようにスイッチのVLAN 200に加えます。   第2のサブインターフェイス設定が必要で、それをVLAN 200タグに設定します。違うセキュリティ・ゾーンを作成し、違うセキュリティ・ポリシーを設定することができます。   'dmz'ゾーンを作成します。     そして、違うインターフェイスとIPサブネットを割り当てます。   そしてManagement Profileに'ping'を設定します。   インターフェイス設定は以下のようになっているかと思います。   2. DHCP再設定   前回設定したDHCPサーバー設定を新しいサブインターフェイス設定に移動します。 Networkタブに移動。 左パネルから、DHCPメニューを選択。 インターフェイスethernet1/2用のDHCP設定を開く。 インターフェイスをethernet1/2.100に新しいサブインターフェイス設定に一致するよう変更。   3. 新しいNAT ポリシー設定   次のステップは、ファイアウォールの外部アドレス経由で、インターネット上のWebサーバにホストが接続するためのNATポリシーを設定します。 Policiesタブに移動。 NAT設定を左側パネルから選択。 Addをクリックして、新しいNATポリシーを作成。     Original Packetタブでは送信元、宛先ゾーンをuntrustそして、宛先アドレスを、ファイアウォールの外部アドレスに設定します。宛先ゾーンがuntrustなのは、ファイアウォールは宛先ゾーンを受信パケットのルーティングテーブルベースで決定するからです。この場合、NAT変換前の宛先IPアドレスが適用され、untrustゾーンとなります。   Translated Packetタブでは、Webサーバーの物理アドレスを設定します。   4. Securityポリシーの追加   最後のステップでは、Webサーバーにアクセスするために、TrustからUntrustゾーンを許可するSecurityポリシーを追加します。 Policiesタブに移動。 左パネルからSecurityを開く。 Addをクリックして、access_to_webserverという名前のSecurityポリシーを追加。 ここでは、送信元ゾーンが'untrust'を選択、   宛先には'dmz'を選択、宛先アドレスには、ファイアウォールの外部IPアドレスを設定します。   アプリケーションにはweb-browsingを追加し、   攻撃者からWebサーバーを守るために、必要なSecurityプロファイルを選択します。   TrustゾーンからのSecurityポリシーのステップを繰り返し、追加のアプリケーションを設定します。   Destinationでは、Securityゾーンに'dmz'を、アドレスにはWebサーバーの内部アドレスを設定します。   追加の管理用Applicationsを加えます。   設定されたSecurityポリシーは以下の様になっています。   新しい設定をcommitした後に、インターフェイスethernet1/2がVLAN 100と200のタグ付きパケットを処理でき、Webサーバーが外部インターネットに対して公開されていることが確認できます。    もしこの記事に興味がありましたら、次のフォローアップ記事も併せてご参照ください。 I’ve unpacked my firewall, but where are the logs?   著者: reaper
記事全体を表示
kkondo ‎08-02-2018 07:19 PM
5,446件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Getting Started: Network Address Translation (NAT) https://live.paloaltonetworks.com/t5/Tutorials/Getting-Started-Network-Address-Translation-NAT/ta-p/116340   Getting Started seriesを参照しながら、ファイアウォール設定が完了した後、次にサーバー類の設定をしたいと思うかもしれません。全ての内部ホストを賄うほどの潤沢なパブリックIPを有していない限り、以下のネットワークアドレス変換(NAT)設定方法もしくはポートアドレス変換(PAT)設定詳細が内部ホストが外部へ、特定のアドレスを使ってインターネット接続する方法となります。   この設定仕様では、NATもしくはPATをあなたの要求要件を満たすのか、いくつかのシナリオを交えで解説します。     ポートアドレス変換, 送信元NAT   基本的にはポートアドレス変換が広範囲によく使われているアドレス変換手法です。内部サブネットを外部の1つのアドレスでカバー変換します。設定例は以下になります。 このNATポリシーは、全てのTrustゾーンからのセッションを変換し、Untrustゾーンへ送り出します。そして、送信元アドレスを、外部物理インターフェイスに設定されたアドレスに変換します。それらはランダムなソースポートを使用します。返ってくるパケットはファイアウォールでメインテナンスされているステートテーブルで、全てのアクティブセッション、NAT変換により自動的に逆変換されます。   ダイナミックNAT   ポートアドレス変換のバリエーションの一つで、送信元アドレスを追加して可用性を高めます。もしあなたのISPがパブリックアドレスとしてサブネット/29もしくはもっと多くのアドレスを提供した場合、かつあなたの内部ネットワークが広大な場合、NATプールのオーバーサブスクリプションoversubscription を防ぐのに役立つかもしれません。 アドレスタイプの設定で、インターフェイスから、変換アドレスに変更します。そして、有効なIPアドレスとして、IPレンジかIPサブネットを指定します。 ファイアウォールは送信元IPアドレスのハッシュテーブルを利用して、利用可能なプールからIPアドレスを選択します。この送信元アドレスは、この送信元アドレスからくる全てのセッションで利用されます。送信元ポートはランダムになります。   もし送信元ポートが変換前と同様である必要がある場合(いくつかのアプリケーションでは、特定の送信元ポートである必要があるかもしれません)、変換タイプをダイナミックIPに設定すれば、クライアントの送信元ポートをセッション毎に等変換します。変換アドレスは次の割り当て可能なアドレスが供給されます。 連続した32000個以上のIPアドレスはサポートされません。 変換されるアドレスプールは、内部ホストアドレスの数と同じ、もしくは多い必要があります。それぞれの内部ホストが変換後のアドレスを割り当てるためです。   上記の要件をたいていは満たしているが、時々満たさないケースがあるという場合、バックアップとして、ダイナミックNAT、ポートアドレス変換にフォールバック設定ができます。変換アドレス、インターフェイスアドレスオプションが可能です。デフォルトは未設定となっています。   1対1 NAT、静的NAT   もし、ローカルのSMTPサーバーやWebサーバーのようにインターネットからサーバーの存在を明確にする必要がある場合、1対1NATポリシーを特定のサーバー向けに設定する必要があります。いくつかの違った方法により実現する方法があります。   双方向ポリシー:   双方向ポリシーでは、上記で示したように通常の外部向け静的NATを作成し、双方向フラグを設定します。これによりシステムは(暗黙的に)インバウンドポリシーを作成することができます。   このポリシーでは、送信をtrustゾーン、宛先をUntrustゾーン、送信元アドレスを内部サーバー、送信元アドレス変換を外部NATアドレスに設定されています。送信をUntrustゾーン、宛先を全て、宛先IPアドレスを外部NATアドレス、そして宛先変換として、サーバーのアドレスとした暗黙のポリシーが作成されます。 この手法が、複数の1対1変換して、サーバーが各々単一のパブリックIPを所有している場合、有効に働きます。   片側方向のポリシー:   片側方向NATは双方向の場合よりも多少制御でき、PATやポートアドレス変換が可能です。PATは1個のパブリックIPを複数の内部サーバーでシェアできます。   次の3つのルールでは、3つの異なった内向きの静的NATサンプルです。 1番目のNATルールは従来の1対1ルールで、全ての内部サーバ向けポートを変換し、宛先ポートをメンテナンスします。 2番目のNATルールは内部向け通信で、宛先ポートが80番ポートを、内部サーバの8080番ポートに変換します。 3番目のNATルールは内部向けセッションで、2番目のルールと同じですが、宛先ポート25番だけは違う内部サーバーにリダイレクトされます。 注意事項:    なぜ宛先ゾーンがUntrustに設定され、宛先インターフェイスは何になりますか? 'any'を内向けNAT(UntrustからUntrust)の宛先アドレスとして使用できますか?   セキュリティポリシーは、送信ゾーンをUntrustゾーン、宛先ゾーンを(最終的な宛先ゾーン)をtrustと設定すべきです。そして、宛先アドレスは、NAT変換前のパブリックアドレスと設定してください。     Source and Destination NAT   いくつかのケースにおいて、送信元、宛先NATを同時に実行する必要があるかもしれません。一つの例として、Uターンの場合で、内部ホストが、内部サーバーにアクセスする必要があり、クライアントと同じセグメントにいながら、パブリックアドレスを使用する場合です。 Uターンと詳細について、記事と、チュートリアルビデオがありますが、大まかな説明としては、   パブリックアドレスでインターナルリソースにアクセスするために、新たに、trustからUntrustへ変換するNATポリシーが必要になります。   もし、送信元変換がこのポリシーに含まれていない場合、サーバーはオリジナルのソースアドレスでパケットを受け取り、サーバーは直接クライアントにパケットを返信します。   これにより、非対称ループが作られ、TCPサニティチェックに違反され、ファイアウォールでセッションが終了されます。   解決方法としては、例として、ファイアウォールのIPに送信元変換のするルールを追加することです。そうすることによりサーバーの返信はファイアウォールに戻され、ステートフルセッションとして動作します。       追記: VwireにおけるNAT     NATはルーターでルーティングテーブルを編集することができれば(ISPのルーターでは許可されないかもしれませんが)VwireにもNAT設定が可能です。理想的には、Vwireの両端にルーターがあれば単純な設定にできますが、上位側のルーターだけでも、難易度は上がりますが、設定することができるでしょう。   2つのルーター間で、ポイントツーポイントのサブネット(例:10.10.10.0/30)を作成し、各々のルーターにIPを設定し、変換後IPアドレスのルートテーブルを、変換する側の対抗ルータのアドレスでポイントします(例:198.51.100.1をUntrustルーターに、trustルーターのIPでポイントします)。ファイアウォールは残りの部分を処理します。       注意事項   ゾーン解決はルートのルックアップで実施します。パケットがファイアウォールに到着した時、送信元と宛先サブネット、セッションに割当てられた適切なゾーンのルーティング・ルックアップ・チェックが実施されます。インターネットから内向けのトラフィックの場合、送信元ゾーンはUntrustとなり、デフォルトルート(0.0.0/0)はUntrustインターフェイスをポイントします。そして、宛先IPアドレスは、NAT変換前となり、Untrustインターフェイス所属となります(上記例では198.51.100.0/24)。   NATポリシーで宛先インターフェイスを使用すると、類似NATポリシーを使用した場合、競合が発生することを防ぐ助けになります。例えば、もし2つの外部インターフェースが存在して、2つのISP接続があり、違うパブリックアドレスを使用している場合、2つの同様の外向けNATルールが設定できます。   NAT IPの場合、インターフェースに物理的に設定されていないアドレスを使用します(例、インターフェースは51.100.1で、サーバーに使用するNATでは198.51.100.5を使用)。ファイアウォールはGARPを対向機器に送付して通知し、上位機器に対して、ARPリクエストの応答をします。GARPは以下のコマンドで手動で実施することもできます。 admin@MyFW> test arp gratuitous interface ethernet1/1 ip 198.51.100.6 1 ARPs were sent 注意事項: もしNATルールで、変換するサブネットがインターフェイスに設定されていない場合、ファイアウォールは全てのIPアドレスのサブネットに対してGARPを送付します。   ファイアウォールは宛先NAT(内向き)にリストされている宛先アドレスのProxy ARP解決を提供するので、宛先アドレスは、宛先変換サブネットに一致する必要があります。宛先アドレスに'any'を使用することはできません。   内部クライアントが、DMZもしくは信頼できるネットワークにパブリックアドレスを介して接続するNATポリシーを作る場合は、どのような場合でも上記の1ポートアドレス変換NATポリシーを参考にご使用ください。   オーバーサブスクリプション   オーバーサブスクリプションはファイアウォールが作成されるセッションの量に対するパブリックIPアドレスが少なすぎる場合に、同じIPアドレスとポートのペアに変換した現行のセッションを共有し、スケーラビリティを提供します。例えば、通常、最大の現行セッションは、64,000(65,000ソースポート - 1,024サーバーポート)ですが、プラットフォームによっては、8倍の512,000セッションまでオーバーサブスクリプションすることができます。   以下のKBをご参照ください: How to Change the NAT Oversubscription Rate How to Check the Oversubscription on a NAT Rule   著者: Reaper
記事全体を表示
kkondo ‎04-25-2018 05:32 PM
8,998件の閲覧回数
0 Replies
 ※この記事は以下の記事の日本語訳です。 How to Create and View NAT Rules on the CLI https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Create-and-View-NAT-Rules-on-the-CLI/ta-p/66162   このドキュメントでは、CLI(コマンドラインインターフェイス)でNATルールを作成および表示する方法について説明します。     CLIでNATルールを作成するには、次のコマンドを使用します: # set rulebase nat rules <NAT Rule Name> description <Description of NAT rule> from <Source Zone> to <Destination Zone> service <Service Type> source <Source IP Address>  destination <Destination IP address> source-translation <Type of Source Translation> interface-address interface <Interface Port number>   以下の例では、ダイナミックIPとポートを使用してスタティックNATを作成し、ethernet1/4 を使用しています。 > configure # set rulebase nat rules   StaticNAT   description   staticNAT   from   DMZ   to   L3-Untrust   service   any   source   any   destination   any   source-translation   dynamic-ip-and-port   interface-address interface   ethernet1/4 # commit # exit   コミット後、次のコマンドを使用してNATルールの作成を確認します。 > show running nat-policy   StaticNAT {         from DMZ;         source any;         to L3-Untrust;         to-interface  ;         destination any;         service  any/any/any;         translate-to "src: ethernet1/4 10.46.40.56 (dynamic-ip-and-port) (pool idx: 2)";         terminal no; }   owner: rupalekar
記事全体を表示
dyamada ‎04-17-2018 09:15 PM
3,149件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure Global Protect Gateway on Loopback Interface with iPhone Access https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-Global-Protect-Gateway-on-Loopback-Interface/ta-p/56866   httpsでないGlobal Protectポータルの使用に加えて、loopbackインターフェイスに紐付けられたゲートウェイにアクセスすることが可能です。Publicネットワークで使用できるIPアドレスが一つのみしかなく、OWAのようなSSLベースのアプリケーションをそのIPでもホストしたい場合、以下の設定手順を参照してください。 別のナレッジ記事   How to Configure GlobalProtect Portal Page to be Accessed on any Port   も参照してください。1つ目のloopbackインターフェイスに加えて、ポータルのために2つ目のloopbackインターフェイスが必要になるでしょう。   追加のloopbackインターフェイスの作成 untrustに属するインターフェイスから、loopbackに対してPingが可能であることを確認しておきます。 > ping source 99.7.172.157 host 10.1.1.     PING 10.1.1.2 (10.1.1.2) from 99.7.172.157 : 56(84) bytes of data.     64 bytes from 10.1.1.2: icmp_seq=1 ttl=64 time=0.126 ms     64 bytes from 10.1.1.2: icmp_seq=2 ttl=64 time=0.068 ms         loopbackインターフェイスをポータルのアドレスとして割り当てます。 loopback.1インターフェイスをゲートウェイのアドレスとして割り当てます。   以下のサービス群、およびそれらを含むサービスグループの作成 これらのサービスはゲートウェイのループバックインターフェイスにてアドレス変換されます。この例では、宛先とするポートは500 (ike/ciscovpn), 4501 (ipsec-esp-udp)です。 定義済みのservice-httpsに加えて、2つのカスタムサービスが"gateway"サービス グループ プロファイルに追加されています。   サービスの作成     サービス グループ オブジェクトへのサービスの追加 必要なセキュリティ ポリシーを作成します。 先のナレッジ記事に記載したとおり、SSL標準ポート宛でないトラフィックを最初のループバック インターフェイスにリダイレクトするためのルールが必要です。 ここではGPポータルはポート443ではなく、ポート7000でアクセスできます。このルールの下に、ゲートウェイへのike、ipsec、panos-global-protect、sslそしてweb-browsingをそれぞれ許可するルールを作成します。       2つ目のループバック インターフェイス(loopback.1)にトラフィックを向けるNATポリシーを作成します。 loopback.1インターフェイスに先に設定した10.1.1.2にトラフィックを向けるために、この例ではgateway サービス グループを使用します。       ゲートウェイ上でのiPhone/iPad用の設定 'X-Auth サポート'を有効化してグループ名とグループ パスワードをそれぞれ設定します。これはモバイル機器のVPNプロファイル設定の際に利用されます。     VPNプロファイルを先の手順で設定した共有秘密鍵を使用して作成します。該当のプロファイルのパスワードは選択した認証方式と合わせる必要があります。(LDAP、Kerberos、ローカル データベースなど)   モバイル デバイスと同様に Global Protectクライアント経由でのアクセスを確認します。   > show global-protect-gateway current-user           GlobalProtect Name : gp-gateway (2 users)         Domain User Name      Computer        Client          Private IP      Public IP      ESP    SSL    Login Time      Logout/Expiration TTL       Inactivity TTL         ------ ---------      ---------      ----------      ---------      ---    ---    ----------      ----------------- ---      -----------   ---               \renato          PAN01347        Windows 7 (Version 6.1 Build 7601 Service Pack 1)10.10.10.2      64.124.57.5    exist  none    Oct.02   06:04:01 Nov.01 06:04:01  2589926  9641               \renato          64.124.57.5    iPhone OS:6.0  10.10.10.1      64.124.57.5    exist  none    Oct.02 06:38:33 Oct.02 07:39:33  3657       10798     著者: rkalugdan
記事全体を表示
TShimizu ‎11-06-2017 05:43 PM
4,008件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Resolving Routing Issues when Using NAT over VPN           https://live.paloaltonetworks.com/t5/Management-Articles/Resolving-Routing-Issues-when-Using-NAT-over-VPN/ta-p/62823   詳細 IPsec トネリングでNATを使用しているうえで、プロキシーIDsを変換している場合、トネルインターフェイスを介したNATを変換したルートへの宛先指定が必要です。   プライベートアドレスを、パブリックアドレスとNATにより外部から見えなくする典型的な構成図は以下です。     On the PA 2020: 172.17.20.0/24セグメントは2.2.2.0/24ネットワークセグメントにNAT変換されます。   On the PA 5050: 172.17.30.0/24セグメントは 3.3.3.0/24ネットワークセグメントにNAT変換されます。   NATは常に1対1のマッピングは必要ないです。設定者は一つのパブリックアドレスを使って、ポートベースの変換を設定することも可能です。これらのIPアドレスは、VPNにてプロキシーIDが使われます。PAN-OSのセッションセットアップ毎に、ファイヤーウォールはESPパケットを解読し、パケット内の送信元、宛先アドレス双方のフォワーディングルックアップを実行し、ゾーンとインターフェイスを決定します。これらのアドレスのルートがトネルインターフェイスを指示していなく、フォワーディングルックアップがデフォルトゲートウェイを指示しています(特定ルートのスタティックルートや、ダイナミックルートが無い場合)。両方のアドレスルートがuntrustゾーン、インターフェイスを指示している場合、トネルインターフェイスが所属するゾーンからの通信を許可するポリシーに一致しないので、パケットがドロップされます。   NAT、VPN設定に加えて、必要なルート設定は以下です: admin@PA-2020# set network virtual-router default routing-table ip static-route local-site-NAT destination 2.2.2.0/24  interface tunnel.1 admin@PA-2020# set network virtual-router default routing-table ip static-route local-site-NAT destination 3.3.3.0/24  interface tunnel.1   同様に、対向側で必要なルート設定は以下です:  admin@PA-5050# set network virtual-router default routing-table ip static-route local-site-NAT destination 3.3.3.0/24  interface tunnel.1 admin@PA-5050# set network virtual-router default routing-table ip static-route local-site-NAT destination 2.2.2.0/24  interface tunnel.1
記事全体を表示
kkondo ‎08-14-2017 08:33 PM
5,963件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure Symmetric Return https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-Symmetric-Return/ta-p/59374     概要 このドキュメントは PAN-OS 5.0 でのシンメトリック リターンの簡易的な設定方法について記載します。   詳細 この機能は S2C フローの戻りパケットを最初の SYN を発信した MAC アドレスに向かって送出します。 これにより戻りのトラフィックはセッションが作られたインターフェースを使うので非対称ルーティングやデュアル ISP の環境には有効的です。   例:トポロジー 上記の図では、クライアントの 5.1.1.1 からインターナルサーバー 192.168.83.2 へは二つのパブリック IP 1.1.1.83 と 2.1.1.83 を使って通信できます。 この両方の IP は 宛先 NAT でインターナルサーバー IPの 192.168.83.2 へ変換されます。 ISP1 の Ethernet 1/1 にインターナルサーバー向けの通信が来た場合、シンメトリックリターンが設定されていると下記の図のように戻りトラフィックはデフォルトルートの Etherenet 1/2 ではなく Ethernet 1/1 を使います。   NAT INCOMING_NAT-ISP-1 と INCOMING_NAT-ISP-2 のルールはインターナルサーバー IP の 192.168.83.2 の変換用です。 ISP1NAT と ISP2NAT は ISP1 と ISP2 へのアウトバウンドトラフィック用です。   ネットワーク   ルーティング firewall上には ISP2 を宛先とするデフォルトルートが一つあります。   ポリシーベースフォワーディング (PBF) シンメトリックリターンの作成はポリシーベースフォワーディングの設定内でおこないます。 サーバー宛トラフィック用の PBF ルールを作成します。 シンメトリックリターン機能はインターフェースに基づくもののため Source Type で Interface を選択します。   追記:Zoneでの設定はできません。なお、Tunnel インターフェースも MAC アドレスが無いため使用できません。   Destination IP address をサーバーのインターナル IP アドレスに設定します。 送信先ネットワークが直接接続されてなければ Next Hop の IP アドレスに設定します。 egress interface はインターナルサーバーが同じセグメントにある為 Ethernet 1/6 に設定します。 サーバーが直接接続されていなければ、サーバーのあるネットワークへの Next Hop の IP アドレスを設定します。 Enforce Symmetric return を有効にし、Next Hop Address を ISP1 (1.1.1.84) に設定します。 シンメトリックリターンが正しく動作していることを確認する場合は次のコマンドを実行します: > show session id 6149 Session            6149           c2s flow:                 source:      5.1.1.1 [DMZ]                 dst:         1.1.1.83                 proto:       1                 sport:       13812           dport:      3                 state:       INIT            type:       FLOW                 src user:    unknown                 dst user:    unknown                 pbf rule:    ISP1-PBF 1           s2c flow:                 source:      192.168.83.2 [L3-Trust]                 dst:         5.1.1.1                 proto:       1                 sport:       3               dport:      13812                 state:       INIT            type:       FLOW                 src user:    unknown                 dst user:    unknown                 pbf rule:    ISP1-PBF 1                 symmetric return mac: 00:1b:17:05:8c:10           start time                    : Tue Jan  8 16:23:55 2013         timeout                       : 6 sec         total byte count(c2s)         : 98         total byte count(s2c)         : 98         layer7 packet count(c2s)      : 1         layer7 packet count(s2c)      : 1         vsys                          : vsys1         application                   : ping         rule                          : all         session to be logged at end   : True         session in session ager       : False         session synced from HA peer   : False         address/port translation      : source + destination         nat-rule                      : INCOMING_NAT-ISP-1(vsys1)         layer7 processing             : enabled         URL filtering enabled         : False      作成された PBF ルールにマッチしていることがわかります。   (訳注: シンメトリックリターンが設定された PBF ルールにマッチしていた場合、S2C flow に宛先 MAC が表示されます。) 下記のコマンド出力から戻りのトラフィックがどこに送られているのか調べることができます。   > show pbf return-mac all   current pbf configuation version:   0 total return nexthop addresses :    8   index   pbf id  ver  hw address          ip address                      return mac          egress port -------------------------------------------------- ------------------------------ 7       1       2    00:1b:17:05:8c:10   1.1.1.84                      00:1b:17:05:8c:10   ethernet1/1   2       1       0    00:00:00:00:00:00   1.1.1.84                      00:1b:17:05:8c:10   ethernet1/1   6       1       1    00:1b:17:05:8c:10   1.1.1.84                      00:1b:17:05:8c:10   ethernet1/1   8       1       2    00:00:00:00:00:00   1.1.1.84                      00:1b:17:05:8c:10   ethernet1/1   5       1       1    00:00:00:00:00:00   1.1.1.84                      00:1b:17:05:8c:10   ethernet1/1   9       1       3    00:1b:17:05:8c:10   1.1.1.84                      00:1b:17:05:8c:10   ethernet1/1   1       1       0    00:1b:17:05:8c:10   1.1.1.84                      00:1b:17:05:8c:10   ethernet1/1   10      1       3    00:00:00:00:00:00   1.1.1.84                      00:1b:17:05:8c:10   ethernet1/1   maximum of ipv4 return mac entries supported :     500 total ipv4 return mac entries in table :           2 total ipv4 return mac entries shown :              2 status: s - static, c - complete, e - expiring, i - incomplete   pbf rule        id   ip address      hw address        port         status   ttl -------------------------------------------------- ------------------------------ ISP1-PBF        1    1.1.1.84        00:1b:17:05:8c:10 ethernet1/1    s      1603 ISP1-PBF        1    5.1.1.1         00:1b:17:05:8c:10 ethernet1/1    c      1800           session via syn-cookies       : False         session terminated on host    : False         session traverses tunnel      : False         captive portal session        : False         ingress interface             : ethernet1/1         egress interface              : ethernet1/6         session QoS rule              : N/A (class 4)   著者:sdurga
記事全体を表示
oconnellm ‎08-31-2016 12:19 AM
8,817件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure Email Alerts for System Logs https://live.paloaltonetworks.com/t5/Learning-Articles/What-does-the-Bi-directional-NAT-Feature-Provide/ta-p/60593   GUIにて Policies > NAT で送信元アドレスの変換の設定をする際、スタティック IPを選択すると "双方向" のチェック ボックス(訳注:PAN-OSのバージョンによってはラジオボタン)が表示されます。   詳細 以下はサーバーから外部へ接続するための双方向 NAT の設定であり、プライベート アドレス "A_private" とパブリック アドレス "A_public" を使用して送信元ゾーン "Inside" から宛先ゾーン "Outside" への送信元 NAT の例です。ユーザーのアウトバウンド トラフィックはプライベート アドレスからパブリック アドレスへ送信元 NAT が実施されます。"outside" ゾーンを含む全てのゾーンから "A_public" アドレス宛てのトラフィックに対しては "A_private" アドレスへの宛先 NAT が行われます:   注: 双方向オプションを有効にするとファイアウォールは送信元 NAT と宛先 NAT の2つのルールを作成し、これらはデバイス上のNATルールとしてそれぞれカウントされます。双方向オプションによって作成された2つのルールは次のように記述されます: 送信元 NAT 元のパケット: 送信元ゾーン "Inside"、宛先ゾーン "Outside"、送信元アドレス "A_private"、宛先アドレス "ANY" 変換済みパケット: 送信元アドレスの変換 "スタティクIP"、変換後アドレス "A_public" 宛先 NAT 元のパケット: 送信元ゾーン "ANY" (Inside と Outside を含む全てのゾーン)、宛先ゾーン "Outside"、送信元アドレス "ANY"、宛先アドレス "A_public" 変換済みパケット: 宛先アドレスの変換の変換後アドレス "A_private"   双方向 NAT 変換の設定するには NAT ポリシー ルールの変換済みパケット タブを開きます。送信元アドレス変換の中にある変換タイプで "スタティックIP" を選択します。必要に応じて双方向 NAT オプションの有効/無効を設定します: 双方向オプションを使用した場合、上記で記述したとおり NAT ポリシー数は2倍になります: オリジナルの送信元 NAT ポリシー 暗黙で作成される宛先 NAT ポリシー 宛先 NAT ポリシーは上記の例の場合、以下のようになります: 元のパケット: 送信元ゾーン "ANY" 宛先ゾーン "Outside" 送信元アドレス "ANY" 宛先アドレス "A_public"; オリジナル ルールの変換後宛先アドレス 変換済みパケット: 宛先アドレス "A_private"; オリジナル ルールの送信元アドレス   注: 双方向ルールによって作成された宛先 NAT ポリシーは元のパケット内の送信元ゾーンと送信元アドレスが "ANY" となります。ポリシーが双方向での送信元スタティック NAT として設定されると、意図しないトラフィックが NAT されることがあります。送信元/宛先 NAT ルールをきめ細かく制御したり、双方向 NAT が正しく動作していない場合にはこれらを個別に作成する必要があります。  
記事全体を表示
tsakurai ‎07-27-2016 08:16 PM
17,316件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure GlobalProtect Portal Page to be Accessed on any Port https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-GlobalProtect-Portal-Page-to-be-Accessed-on-any/ta-p/53460   訳注:GlobalProtectの設定画面はPAN-OS Versionにより大幅に異なります。ご使用になるPAN-OSバージョンのWebインターフェイス リファレンス ガイドを合わせてご参照ください。   GlobalProtectが使用するポートを変更することはできませんが、ループバック IPアドレスとセキュリティ ルールによって他のポートを使うことができます。   設定方法: ループバック Interfaceを作成します。 Untrustのインターフェイスが、ループバックにpingできることを確認しておきます。 ポータルのアドレスとゲートウェイのアドレスに、ループバックアドレスを設定します。 GlobalProtectポータルにて、[クライアントの設定]タブよりクライアントの設定を作成し、[外部 ゲートウェイ]を設定します (例:10.30.6.56:7000) 。 ポート番号7000を使用する10.30.6.56 (Untrustのインターフェイス)が、ポート番号443を使用する10.10.10.1 (ループバック) に変換される宛先NATルールを作成します。 Untrustのインターフェイスを宛先アドレスとし、ポート番号7000と443をサービスとしてセキュリティ ポリシーを作成します。 この設定を行うことで、https://10.30.6.56:7000 でGlobalProtectポータルにアクセスできるようになります。https://10.30.6.56:7000  は https://10.10.10.1  が変換されたものです。 GlobalProtectクライアント ソフトウェアをダウンロードして、インストールします。 [ユーザー名]と[パスワード]で資格情報を使用します。[ポータル]欄では、以下の図のように10.30.6.56:7000 をIPアドレスとして使用します。                             著者:mvenkatesan
記事全体を表示
hshirai ‎07-20-2016 08:04 PM
3,466件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Source NAT Translation Types and Typical Use Cases https://live.paloaltonetworks.com/t5/Management-Articles/Source-NAT-Translation-Types-and-Typical-Use-Cases/ta-p/66203   概要 以下は送信元アドレス変換のタイプと、よくある使用例です。   Dynamic IP and Port 指定された送信元IPアドレスについて、Palo Alto Networks のファイアウォールは送信元 IP アドレスまたは範囲を1つの IP アドレスへ変換します。マッピングは送信元ポートに基づいているため、複数の送信元 IP アドレスは送信元ポートが消費されるまで1つの変換されたアドレスを共有することができます。これは、1つのパブリック IP アドレスを多くのプライベート IP アドレスの間で共有する場合によく利用されます。ISP に接続するインターフェイスに割り当てられた IP アドレスを選択するのが一般的です:   アウトバウンド プールに IP アドレスを追加するには、アドレス タイプを "Translated Address" に変更し、有効なパブリック IP アドレスを追加します。ファイアウォールはセッションごとにアドレスをロードバランスします。   NAT プールの使用状況を確認するには次のコマンドを使用します:  > show running global-ippool   Dynamic IP 指定された送信元 IP アドレスについて、ファイアウォールは、定義されたプールまたは範囲内のIPに送信元IPを変換します。マッピングはポートベースではなく、セッションが持続する限り 1対1 のマッピングを行います。それぞれの同時セッションはプールからアドレスを使用し、他の送信元 IP アドレスはそのアドレスを使用できなくなります。このオプションを利用する場合、同時アウトバウンド セッションを作成するホストの数がダイナミック プール内の IP アドレスの数を超えた場合に、変換用アドレス プールが枯渇することに注意してください。これは2つ以上のパブリック IP アドレスを ISP から割り当てられたものの、すべての内部ホストに割り当てるには不十分なので、アウトバウンド ホストを必要な分だけアサインするときに利用されます。ダイナミック プールには IP アドレスの範囲を割り当てることが一般的です:   指定されたNAT ポリシーの現在の NAT プールのマッピングを表示するには、次のCLIコマンドを実行します。: > show running nat-rule-ippool rule <NAT rule name> Static IP ひとつの送信元アドレスを特定のパブリック アドレスに変換するにはこの変換タイプを使用してください。これは、一般的には変更されないアドレスを持つサーバー(電子メール、 Webまたは任意のアプリケーション)を公開するために使用されます。   Bi-directoinal を「Yes」にすると、送信元と宛先に基づいた双方向のマッピングを作成します。「No」に設定すると、送信元から宛先へのマッピングだけが作成されます。サーバーのアウトバウンド トラフィックとインバウンド トラフィックは同じアドレスを使用するため、通常、送信元 NAT ポリシーの Bi-directional は「Yes」が利用されます:   アドレス範囲全体を特定のアドレス範囲に 1対1 のマッピングで変換するよう Static IP マッピング タイプを使用してください。このポリシーを使用する送信元 IP アドレスの数は、変換後アドレスの範囲と正確に一致する必要があります。一般的には、ネットワークを統合する際の IP 範囲の重複解決するために使用されます。以下のポリシーでは、10.30.1.x 範囲内で一致するアドレスに (Corp) ゾーン宛て 10.20.1.x アドレスの持つすべての送信元アドレスを変換します。:   著者: jteetsel
記事全体を表示
dyamada ‎07-13-2016 05:35 AM
12,574件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure U-Turn NAT https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-U-Turn-NAT/ta-p/61889   概要 “Uターン” とは外部アドレスが解決される内部リソースにアクセスするときに、トラフィックが引き返すように見える論理パスを指します。Uターン NAT とは内部ユーザーがサーバーの外部パブリック IP アドレスを使用して内部サーバーにアクセスする際に必要なネットワークのことを指します。 詳細 例として、内部 Web サーバーはサーバーの外部パブリック インターネット アドレスを指す DNS レコードを使用してします。   外部ユーザーがアドレスを解決すると、ファイアウォールの外部インターフェイスに接続し、そのセッションはファイアウォールで変換されて制御されます。、物理サーバーをユーザーの内部サブネットまたは内部アドレスを持つ DMZ に配置しても、同じ FQDN に接続する内部ユーザーは外部アドレスに接続します。   NAT ルールを設定する際は、送信元と宛先のゾーンは、送信元および宛先 IP アドレスが属するゾーンに対応するように設定する必要があります。対照的にセキュリティ ルールのゾーンは実際の送信元、宛先によって決定されますが、オリジナル パケットの宛先 IP アドレスをリストしています。   外部ユーザーがインターネットから Web サーバーにアクセスすることを可能にする、通常のインバウンド NAT とセキュリティ ルールは次のとおりです: 注: ユーザーがセキュリティ ポリシーで 80 と 443 番ポートに制限したくない場合はサービスの設定を "any" とし、ユーザーがセキュリティ ポリシーでアプリケーション web-browsing に対応する 80 番ポートのみ使用したい場合はアプリケーション デフォルトを設定します。   以下ではLAN上のホストと、ホストと同じゾーンにあるWebサーバのための Uターン NAT ルールやセキュリティの例を示します: 同じゾーンのための Uターン NAT ルール トラフィックの送信元ゾーンが最終的に同じゾーンに紐付けられるため、セキュリティ ルールは必要ありません。   以下は別のゾーンにあるホストと Web サーバーのための Uターン NAT とセキュリティの例です: 異なるゾーン用の Uターン NAT のための NAT ルールは同じゾーン用の NAT とは異なり、ソースNATは必要ありません(パケットの流れで非対称性がないため)が、このルールは通常のアウトバウンド NAT の上に配置する必要があります: Uターン NAT のためのセキュリティ ルール:    
記事全体を表示
tsakurai ‎04-17-2016 05:13 AM
11,921件の閲覧回数
0 Replies
Ask Questions Get Answers Join the Live Community