はじめに: ネットワーク アドレス変換 (NAT)

はじめに: ネットワーク アドレス変換 (NAT)

309347
Created On 09/26/18 13:44 PM - Last Modified 10/18/23 01:59 AM


Resolution


「はじめに」シリーズの前の記事に従ってファイアウォールを設定したら、サーバーのセットアップを開始することをお望みです。パブリック IP サブネットのホストを外部からアクセスできるようにするか、インターネットに行く特定の IP を使用するネットワーク アドレス変換 (NAT) またはポート アドレス変換 (PAT) を構成する以下の詳細どのように指示するすべての内部ホストをホストするのに十分な大きさの所有の贅沢がないです。

 

この記事では、NAT またはパット最高ニーズを構成する方法を決定する際便利来るかもしれないとの留意する注意事項のカップルにスローいくつかのシナリオを紹介します。

 

 

多対一、NAT、送信元 NAT を非表示します。

 

基本をカバーするには、非 NAT はアドレス翻訳そこの最も一般的な使用です。それは単一の外部パブリック ip アドレスの背後にあるすべての内部サブネットを非表示にし、このようになります。

2016-09-28_15-16-04.png

この NAT ポリシー信頼ゾーンに行く信頼ゾーンから発信されたすべてのセッションを翻訳して外部の物理的なインターフェイスに割り当てられた ip アドレスをソース アドレスが変更されます。またランダム ソース ポートになります。

すべてのアクティブなセッションおよび彼らの NAT の行動を追跡状態テーブルを保持パケットはファイアウォールとして逆翻訳自動的にされますを返す

 

多対多の NAT

 

単純な非表示 NAT 政策の変化、場合より以上のソース アドレスが利用可能なを追加します。たとえば、ISP は、29 またはより大きい公共のサブネットを指定した場合、物事のあらゆる種類の使用することができます追加の IP アドレスがあります。内部ネットワークが非常に大きい場合は、 NAT プールのオーバーサブスクリプションを防ぐために、これらの追加アドレスが必要になることがあります。

この構成のアドレスの種類が 'インターフェイス' から 'アドレスを翻訳' に変更します。その後、IP 範囲、または IP サブネットとして使用可能な IP アドレスが追加されます。

2016-09-28_16-15-33.png

ファイアウォールは、発信元 IP アドレスのハッシュに基づいて利用可能なプールから ip アドレスを選択します。このソース アドレスそのソース IP からのすべてのセッションを同じままになります。送信元ポートはランダムまだ。

 

ソース ポートは、(いくつかのアプリケーションは、特定の発信元ポートを必要があります) 同じを維持する必要がある場合は、動的 IP、セッションあたりのクライアントの送信元ポートを保持する変換の種類を設定できます。によって変換されたアドレスが割り当てられます '次利用可能な' を意味するいくつかの注意事項があります。

  • 以上 32.000 連続した IP アドレスはサポートされて
  • 変換されたアドレス プールは、同じサイズのする必要がありますまたは独自の変換されたアドレス割り当てる各内部ホストとしてホストのあなたの内部の数値よりも大きい

 

上記の基準は通常満たされてが、壊れている可能性がある場合、動的 ip アドレスとポートへのフェールバックするバックアップを設定できます。両方の翻訳アドレスとインターフェイス アドレス オプションが利用可能なデフォルトは none です。

2016-09-28_16-46-49.png

 

1 対 1 NAT、静的 NAT

 

サーバーをインターネットから利用できるようにする場合は、ローカル SMTP やウェブサーバ 1 対 1 NAT ポリシーのようなニーズを作成することが着信接続を前方にして特定のサーバー。これを達成するためにいくつかの異なる方法があります。

 

双方向のポリシー:

 

双方向ポリシーで上記の NAT ポリシーと同様、正規発信静的 NAT ポリシーの作成し、双方向フラグが設定、システムことができます (目に見えない) 暗黙的受信ポリシーを作成します。

2016-09-29_13-37-30.png

 

ポリシーは信頼からのソースが、信頼を宛て、サーバーの内部 ip アドレスと NAT のパブリック アドレスをされているソース翻訳に設定ソース アドレスを持つ。暗黙のポリシーは、信頼のソース ゾーンとパブリック NAT アドレス、および宛先サーバーの IP アドレスに変換の宛先 ip アドレス、任意の宛先を使用作成されます。

これはいくつかの一対一の翻訳を作成する簡単な方法で、複数のサーバーが自分のユニークなパブリック IP アドレスに私たちをもたらす、完璧に動作します。

 

単一指向性のポリシー:

 

単一指向性 NAT でもう少し双方向より制御ポリシーは、でき、パットやポート アドレス変換できます。パットでは、さまざまな内部サービスを単一のパブリック IP アドレスを共有することができます。

 

次に 3 つのルールで受信静的 NAT の 3 つの異なる例を見ることができます。

  • ルール #1は、すべての受信ポートを内部サーバーに変換し、宛先ポートを維持する従来の1つのルールです。
  • ルール #2は、宛先ポート80の受信接続のみをポート8080の内部サーバーに変換します
  • ルール #3 は、同じパブリック IP アドレスの受信セッションをルール #2 として変換しますが、宛先ポート25は宛先ポート25を維持したまま別の内部サーバーに移動します

2016-09-29_14-08-55.png

注意事項:   

  • なぜ宛先ゾーン untrust に設定され、宛先インターフェイスとは何ですか。
  • "Any"として使える宛先アドレス (untrust を untrust) 受信の場合 NAT

 

ソース ゾーンを untrust ようにセキュリティ ポリシーを設定する必要があります、宛先ゾーン (最終目的地ゾーン) は、信頼とアドレスが宛先パブリック アドレス、前国立

2016-09-29_14-45-22.png

 

 

ソースと宛先 NAT

 

いくつかのシナリオでは、それは同時に送信元と送信先 NAT を実行する必要があります。1 つの一般的な例は、内部ホストがクライアントはパブリックの IP アドレスと同じネットワーク上にある内部サーバーに接続する必要がある、u ターン状況です。

すでに素晴らしい記事と、より詳細に U ターンをカバーするチュートリアルビデオがありますが、短い説明はこれです:

 

パブリック ip アドレスに内部リソースにアクセスすることができる、新しい NAT ポリシーを untrust 翻訳への信頼に合わせて作成する必要があります。

 

ソースの翻訳は、このポリシーに含まれていない場合、サーバーは、クライアントに直接応答パケットを送信するサーバーを引き起こしている元のソース アドレスであるパケットで表示されます。

 

これは、非対称のループを作成します: ファイアウォール サーバー-クライアントとファイアウォールのセッションは、TCP の健全性チェックに違反する終了します。

 

ソリューションは、「ステートフル」セッションを可能にする、ファイアウォール サーバーの応答パケットが送信されるので、たとえば、ファイアウォールの ip アドレス ソース翻訳を追加することです。

 

2016-09-29_17-13-56.png 

 

VWire のボーナス: NAT

 

(ISP ルーターは、このこれを許可可能性がありますいない) ルーターのルーティング テーブルを編集することができます、場合も、VWire で NAT を実装できます。理想的には、物事を単純に VWire の両端にルータがあると思いますが、また上流ルータだけと働くためにこれを得ることができる挑戦をしている場合。

 

2 つのルーター間は、小さなポイント ツー ポイントのサブネット、例えば、10.0.0.0/30 を作成します。各ルーターの ip アドレスを割り当てるし、翻訳の側にあるルーターのリモート ルーターの IP で指摘した翻訳の IP アドレスへのルートを追加します。例えば。信頼できるルータの ip アドレスを指す、信頼ルーターの 198.51.100.1 のルートを追加します。ファイアウォールは、残りの世話をします。

 

2016-09-29_15-44-03.png

 

 

注意事項

 

  • ゾーンの解決は、ルートルックアップによって実現されます。ファイアウォールでパケットを受信すると、ソースのサブネットと宛先サブネットにルーティングされます適切なゾーンは、セッションに割り当てられている場所を確認するルーティングのルックアップが実行されます。場合、インターネットからの着信トラフィックは、ソース ゾーンになります信頼、既定ルート 0.0.0.0/0 信頼インターフェイスを指すが、宛先 IP アドレス、前 NAT はまた信頼だと信頼されていないインターフェイス (上記の例では 198.51.100.0/24) に接続されている IP

 

  • nat ポリシーで宛先インターフェイスを使用すると、同様の nat ポリシーを使用する場合に競合を防ぐことができます。例えば。2 つの異なる Isp に、2 つの外部インターフェイスが存在する場合、別のパブリック IP アドレスを維持する 2 つの同一発信 NAT ルール構成できます。2016-09-29_14-54-22.png

 

  • nat ip が物理的にインターフェイス (例えば、サーバー198.51.100.5 のためのインターフェイス198.51.100.1、nat) 上で構成されていない場合には、ファイアウォールは、それが IP アドレスをホストし、arp 要求に応答する隣人に通知するために無償の ARP パケットを送信します上流のデバイスから。無償 ARP は、手動で開始することも。
    管理者 @ MyFW > テスト arp の無償インターフェイス ethernet1/1 ip 198.51.100.6

    1 ARPs が送信されました
    注意: NAT ルールが、インターフェイスで構成されていないサブネットに変換を適用するように構成されている場合、ファイアウォールはサブネット内のすべての IP アドレスに対して無償 ARP を送信します。

 

  • ファイアウォール、プロキシ ARP 解決先の宛先アドレスに記載されているアドレスから (着信) NAT 宛先アドレス サブネット宛先変換サブネットと一致する必要があります。宛先アドレスとして ' any ' を使用することはできません。 

 

  • 内部クライアントが、パブリック ip 経由で dmz または信頼されたネットワーク内のサーバーにアクセスするための nat ポリシーを作成する場合は、これらのポリシーを非表示 にするようにしてください。

 

トップに戻る

 

 

オーバー サブスクリプション

 

オーバー サブスクリプションは、同じ共有複数 (2 つ以上) の同時セッションは IP アドレスとポートの組み合わせを翻訳ファイアウォールは時を発生し、作成されるセッションの量少なすぎるのパブリック IP アドレスがある場合は、スケーラビリティを提供します。例えば。通常最大同時セッション数は、64 K (1024 'サーバー' ポート マイナス 65.000 ポート ソース) になるでしょう。プラットフォームによって、オーバー サブスクリプション最大 512 K あたりの同時セッション IP 8 x のオーバー サブスクリプションを持つことができます。

 

いくつかの関連記事。

NAT のオーバー サブスクリプションのレートを変更する方法

NAT 規則に対しオーバー サブスクリプションを確認する方法

 

トップに戻る

 

 

 

読書をありがとう!

死神
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CllzCAC&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language