機器毎で設定や考え方が違う場合が多いNAT設定について記載します。
今回はPaloAltoのファイアウォール、PAシリーズの「宛先NAT」について説明します。
構成
サーバを公開したりする場合によくある構成です。
サーバAをグローバルIPアドレス「A.A.A.A」で公開しています。
「A.A.A.A」宛のトラフィックをサーバA「B.B.B.B」の実アドレスに宛先変換します。
PaloAltoの設定(NAT定義)
まず、NATポリシーの名前を入力します(①)。※最大半角31文字まで
次に送信元と宛先のゾーンを選択します(②)。ここでは変換前のゾーンを選択します。
インターネット側が「Untrust」ゾーンの場合は、送信元、宛先共に「Untrust」に設定します。
送信元アドレスと宛先アドレス(③)も変換前のアドレスを選択します。
インターネット側の全ユーザからのトラフィックを変換対象とする場合、
送信元:いずれか(ANY)、宛先:A.A.A.A
になります。
最後に"宛先アドレスの変換"にチェックを入れ、変換後のアドレス(B.B.B.B)を選択します。
宛先ポートも変換する場合は、"変換済みポート"にポート番号を入力します。
※変換前と同じポートの場合は無記入で問題ありません
PaloAltoの設定(ポリシー定義)
NAT定義を行った通信をポリシーで許可する場合、ゾーンについてはNAT変換後の情報で設定します。
サーバA側のゾーンが「Trust」の場合、宛先ゾーン設定は「Trust」に設定します。
・NAT定義:Untrust→Untrust
・ポリシー定義:Untrust→Trust
宛先のアドレスは、NATアドレスの「A.A.A.A」を設定します。
※少しややこしいですね・・
送信元:Untrust(Any) →宛先:Trust(A.A.A.A)の通信を許可する・・・
のような定義となります。
次回は送信元NATについて書こうと思います。