PaloAltoファイアウォールを構築する上で必要となりそうな設定項目&要素メモ。
今回はNAT Policy編です。
●NATポリシーについて
PaloAltoファイアウォールのNATはポリシーベースによる処理を行います。
処理するトラフィック(オリジナルパケット)の送信元と宛先のゾーンに基づいてポリシーを参照します。
送信元、宛先、両方必要に応じて変更設定を行います。
▼送信元
・静的変換 ⇒ 1:1
・IPアドレス及びポートの動的変換
⇒IPアドレスはInterfaceアドレスの指定や
アドレスプール等の指定が可能
・IPアドレスの動的変換
⇒IPアドレスはInterfaceアドレスの指定や
アドレスプール等の指定が可能
▼宛先
・一つのIPアドレスまたはIPアドレスの範囲を指定可能。
また、宛先ポート変換も可能
※宛先ポート項目は空白の場合は変換しない
IPアドレス範囲(192.168.1.0/24)で設定した場合は
- 10.10.10.100 ⇒ 192.168.1.100
- 10.10.10.200 ⇒ 192.168.1.200
- 10.10.10.11 ⇒ 192.168.1.11
という変換がされます。
ホスト部分だけ変換されずにそのまま使うようです。
到達トラフィックのZone判定はルーティングテーブルに基づいて判定します。
※インターネットユーザが公開用Webサーバ(パブリックIP)へアクセスする際は、
Untrust to Untrust というような判定になります。
●NATポリシー利用時の注意事項
▼Original Packet項目は必ずNAT実行前の条件を設定する。
・前述したようにオリジナルパケットのZone判定は
ルーティングテーブルにて行われるので、
送信元、宛先がどのZone所属しているかを確認した上でZoneを設定する。
▼NAT用Security Policyの宛先ZoneはNAT変換後のIPアドレスに所属するZoneを設定する。
・送信元については変更はなくNAT変換前のZoneで設定し、
宛先ZoneだけNAT変換後のZoneを設定しないとマッチングしません。