Fortigateで実現する送信元NATは、ファイアウォールポリシーの中で設定します。 送信元NATを使用する場合は、送信元IPアドレスを発信インタフェースのIPアドレスにアドレス変換する場合と、IPプールアドレスといって、定義したIPアドレス範囲に変換させる場合があります。 この記事では、その設定と動作確認をしてみます。
まず、前準備として、ログ&レポート >> 転送トラフィックに移動し、カラムの中に、送信元ポート、送信元NATIP、送信元NATポートを追加します。 これにより、元々の送信元IPアドレス、ポート番号がどのように変換されるのかが確認できます。カラムの表示順番も変更するとなお見やすくなります。
発信インタフェースのアドレスを使用
Fortigateのインターネット側のインタフェースアドレスは10.0.0.122とします。 ここでは、端末(IPアドレス:10.0.1.26)からインターネットへアクセスする際に、送信元IPアドレスを10.0.0.122に変換します。
ポリシー&オブジェクト >> ファイアウォールポリシー より、端末からインターネットへのポリシーへ移動します。 以下の通り、NATを有効にし、IPプール設定を発信インタフェースのアドレスを使用に設定します。
では、端末からインターネットへアクセスし、ログ&レポート >> 転送トラフィックでアドレス変換されているか確認します。
送信元アドレス10.0.1.26が発信インタフェースである10.0.0.122に変換されていることが確認できます。
ダイナミックIPプールを使用
次に、発信インタフェースのIPアドレスではなく、任意に設定したIPアドレス範囲をIPプールアドレスとして設定し、そのIPアドレスに変換してみます。
今回はIPプールアドレスとして、10.0.0.200を設定し、10.0.1.26からインターネットへの通信の送信元IPアドレスをこのプールアドレスである10.0.0.200に変換します。
ポリシー&オブジェクト >> ファイアウォールポリシー より、端末からインターネットへのポリシーへ移動します。 以下の画面の通り、NATを有効にし、IPプール設定をダイナミックIPプールを使うに設定します。
次に+をクリックすることで、右側にプールアドレスの設定画面が表示されます。そこで新規作成をクリックします。
以下の画面が表示されます。
- 名前;任意の名前。ここではNAPTとします。
- タイプ:オーバーロードを選択します。
- 外部IPアドレス/範囲:アドレス範囲を指定します。今回は、10.0.0.200に変換しますので、10.0.0.200-10.0.0.200と設定します。
以下の通り、NAPTが登録されていることを確認した上で、OKをクリックし、ポリシーに設定を反映します。
では、端末からインターネットへアクセスし、ログ&レポート >> 転送トラフィックでアドレス変換されているか確認します。
送信元アドレス10.0.1.26がプールアドレスに設定した10.0.0.200に変換されていることが確認できます。
バーチャルIPによる宛先NATに関する記事は以下を参照してください。
コメント