双方向の NAT 機能は何を提供しますか。
Resolution
GUI では、[ポリシー] > [nat] の下に、 静的 IP ソース nat 変換を作成するときに双方向のチェックボックスがあります。
詳細
この例では、双方向 NAT は、ソースゾーン内のサーバーから、外部の宛先ゾーンへの接続、プライベートアドレス "A_private"、およびパブリックアドレス "A_public" を使用します。ユーザーの送信トラフィックは、プライベートからパブリックへのソース変換を実行します。外部からの A_public に宛てたトラフィックだけでなく、他のゾーンまたはアドレスから A_private への宛先の翻訳を行います。次の例では、ルールを表示します。
注:双方向オプションを使用すると、ファイアウォールは依然として、nat ルールの最大数のデバイスにカウントされる2つのルール、ソース nat と宛先 nat を作成します。双方向オプションで作成された2つのルールは、次のように記述されます。
- ソース NAT
- 元のパケット:
- ソースゾーン内部、宛先ゾーン外、ソースアドレス A_private、宛先アドレス ANY。
- 翻訳パケット:
- ソース翻訳の静的 IP、翻訳されたアドレス A_public。
- 元のパケット:
- 宛先 NAT
- 元のパケット:
- ソースゾーン任意の (内外または他のゾーン)、宛先ゾーン外、ソースアドレス任意、宛先アドレス A_public、
- 翻訳パケット:
- 変換先翻訳、住所 A_private
- 元のパケット:
双方向 nat 変換の場合は、nat ポリシールールを開き、[翻訳済みパケット] タブに移動します。[送信元アドレス変換] で、[翻訳の種類] の [静的-IP] を選択します。双方向オプションの場合は、必要な構成に基づいて [はい] または [いいえ] を選択します。
双方向オプションが使用されている場合、前述のように、指定したルールが2つのルールに展開されます。
- 元のソース変換ルール
- 変換先の変換ルール
- 宛先 NAT ルールには、上の例の次のような結果があります。
- 元のパケット:
- ソース-ゾーンの任意の宛先ゾーン外。
- 発信元アドレス任意宛先アドレス A_public;元のルールの翻訳先アドレスから
- 翻訳パケット:
- 宛先アドレス A_private;元のルールのソースアドレスから。
- 元のパケット:
注:双方向のルールで作成される宛先 NAT ルールでは、元のパケットのソースゾーンとソースアドレスはいずれかになります。これは、ルールが双方向の静的ソース NAT として設定されている場合に、いくつかのトラフィックを壊す可能性があります。ソースとデスティネーションの NAT ルールを細かく制御するには、個別に作成します。これは、双方向の NAT が特定の構成で動作していない場合に必要になることがあります。
所有者: panagent