【Fortigate】バーチャルIPによる宛先NAT FortiOS6.2.4

宛先のIPアドレスをあらかじめ設定されたルールで別のIPアドレスに変換して通信する方式を宛先NATと言います。 Fortigateで宛先NATを行うには、バーチャルIPを使用します。 例えば、以下のような構成を考えます。

端末AからIPアドレス10.0.0.100宛に通信を行います。すると、Fortigateが宛先のIPアドレスである10.0.0.100を10.0.1.10へ変換し、転送します。 端末Aから見ると、10.0.1.10のIPアドレスは見えません。あくまで、10.0.0.100と通信しているかのように見えます。 この機能は主に、グローバルアドレスからプライベートアドレスに変換する場合に使われます。

具体的な設定と動作確認をします。

スポンサーリンク

バーチャルIPの設定

10.0.0.100と10.0.1.10の紐付けはバーチャルIPで設定します。GUIでは、ポリシー&オブジェクトバーチャルIPへ移動し、新規作成をクリックします。

  • 名前:任意の名前。DestNATとします。
  • タイプ:スタティックNATを選択します。
  • 外部IPアドレス/範囲:宛先のIPアドレスの変換前である10.0.0.100を設定します。
  • マップされたIPアドレス/範囲:宛先のIPアドレスの変換後である10.0.1.10を設定します。

OKをクリックすると、以下のように表示されます。

スポンサーリンク

ファイアウォールポリシーの設定

ポリシー&オブジェクトファイアウォールポリシーへ移動し、新規作成をクリックします。

  • 名前:任意の名前。External->Internalとします。
  • 着信インターフェース:外部インタフェースであるport1を選択します。
  • 発信インターフェース:内部インタフェースであるport2を選択します。
  • 送信元:制限せず、allとします。
  • 宛先:バーチャルIPで設定したDestNATを選択します。
  • サービス:管理目的を想定し、PING、RDP、SSHを設定します。
スポンサーリンク

動作確認

外部にある端末Aから10.0.0.100宛にRDPをすると、10.0.1.10の画面が表示されます。

NATテーブルを確認するには、CLIで get system session list で確認できます。

# get system session list
PROTO   EXPIRE SOURCE           SOURCE-NAT       DESTINATION      DESTINATION-NAT
-               
tcp     3598   126.XXX.XXX.XXX:49932 10.0.1.99:49932  10.0.0.100:3389  10.0.1.10:3389    

【ログ&レポート】-【転送トラフィック】で通信ログを確認します。

上記ログをダブルクリックし、詳細を確認します。宛先のIP 10.0.0.100がNATIPとして、10.0.1.10に変換されていることが確認できます。

スポンサーリンク

内部から外部への通信

内部から外部への通信ポリシーは以下の通り、すべての送信元、送信先ですべてのプロトコルを許可とし、送信元NATアドレスとして発信インタフェースのIPアドレスを使用するよう設定しているものとします。

では、内部アドレス10.0.1.10の端末からGoogleへアクセスして、【ログ&レポート】-【転送トラフィック】で通信ログを確認します。

上記ログをダブルクリックし、詳細を確認します。送信元のIP 10.0.1.10がNATIPとして、10.0.0.100に変換されていることが確認できます。

ポリシーとしては、送信元は発信インタフェースのIPアドレスに変換するよう設定されていますが、バーチャルIPを設定すると、バーチャルIPで設定した紐付け通りにアドレスが変換されます。

コメント