どのように u ターンを構成する NAT

あなたは u ターンの NAT、または hairpinning、およびパロ ・ アルトのネットワーク ファイアウォールを構成する方法についてもっと知りたいはこのビデオを見てみましょうよ。

こんにちは！

これは、パロ ・ アルトのネットワーク コミュニティ チームのトム Piens です。今週のビデオ チュートリアルでは、私は u ターン NAT および構成し、それをテストする方法を説明するつもりです。 

• U ターン NAT ってなに?
• いつ u ターン NAT に便利ですか。
• 構成とテスト u ターン NAT

U ターン NAT ってなに?

U ターンは接続の論理パス外とに戻るには、その外部 ip アドレスを使用して内部リソースに接続することによって対処するため内部からファイアウォールを横断するときに使用される用語。 U ターンの NAT は、外部 ip アドレスが内部リソースに到達する必要がある展開に合わせて構成トリックです。

いつ u ターン NAT に便利ですか。

一部の環境では、たとえば、特定のサービスを実行する外部 IP アドレス、ローカルでホストされている web サーバーやメール サーバーに内部ホストが必要があります。 内部ホストは、内部の DNS サーバーまたはサービスに固有の他の要件の欠如が外部 IP アドレスを使用する必要があります。

例では、正規の宛先 NAT 構成を使用して外部 IP アドレス、198.51.100.230、上のサーバー宛てのラップトップから発信されたすべての接続は、IP アドレスがローカル サブネットで、デフォルト ゲートウェイに送信されます。 それは、送信元 NAT、web サーバー ・ ワークステーションに直接戻りパケットの送信を引き起こす非対称流れの結果を適用せず宛先 IP アドレス 192.168.0.97 に変換を取得します。

注:非対称フローは、悪意のある可能性があるため、ファイアウォールによって破棄されます。

U ターン NAT 構成、ラップトップからのアウト バウンド パケットがソース NAT を適用もあります。

送信元 NAT には、ノート パソコンに送信するのではなく、ファイアウォールに直接応答パケットを送信するサーバーが発生します。ファイアウォールに直接パケットを送信する非対称性を防ぎ、コンテンツ スキャン セッションをまだ適用するファイアウォールを可能に。

U ターンを構成する NAT

我々 はまず国立 u ターンせず一般的なセットアップのようを反映して現在の構成を見てをみよう

セキュリティ ポリシーはアプリケーション web 参照、既定のポート 80 であると内部 web サーバーにインターネットからの受信接続を許可する受信規則。 さらに、任意のアプリケーションにインターネットにアクセスすることができる単純な送信セキュリティ ポリシーがあります。最後に、我々 は、たとえば、信頼に信頼 intrazone トラフィックを許可する 2 つの暗黙ルールとセッションがそれを許可する明示的なポリシーが他のゾーンに達するを防ぐ拒否されたイントラネット ゾーンをあります。

nat ポリシーには、外部 ip アドレスへの接続をサーバーの内部 ip アドレスに変換するための受信規則と、内部接続がインターネットに移動してソースに変換されるようにするための非 nat 規則があります。ファイアウォールの外部インターフェイスの IP アドレス。

ブラウザーを開き、私の内部サーバーのインターネット側の IP アドレスである 198.51.100.230 にアクセスすると、我々 はクライアント PC を見てページを読み込まないと表示されます。Wireshark を育てて、syn パケットは内部 IP アドレス 192.168.0.97 から syn/ack を受信して、クライアントは、何が起こっているを理解するいないと、リセットが送信されている外部 ip アドレスに送信されて表示されます。

我々 は今すぐに戻って場合、ファイアウォールと NAT ポリシーを開き、任意の送信元のゾーンを受け入れ、適切な内部サーバーの IP アドレスに変換する受信 NAT ルール設定されていることがわかります。

新しい NAT ルールの詳細を作成します。

名前—内部アクセス

ソースゾーン-信頼

移動先のゾーン-untrust

宛先アドレス — 198.51.100.230

[パケットの変換] タブ。

宛先アドレス — 192.168.0.97 (該当する web サーバーの IP アドレス)

ソースのアドレス翻訳-動的 IP/ポート

アドレスの種類を切り替える-インタ フェース

インタ フェース-ethernet1/2 (ファイアウォールの内部インターフェイス)

IP アドレス—192.168.0.230/24

新しいルールを追加する場合は、その内部アクセスに名前を付け、[元のパケット] タブに移動して、ソースゾーンを信頼する、宛先ゾーンを untrust に設定し、宛先アドレスを198.51.100.230 に設定します。パケットの変換] タブに移動しますと、192.168.0.97 に、正規のルールも有効にソース アドレス変換動的 ip アドレスとポートを設定することによって、出力先を設定、インタ フェースのアドレスをアドレスの種類を切り替えます。

アドレスの種類を [ 翻訳済みアドレス] に設定し、インターフェイスに割り当てられ ている ip アドレス範囲のアドレスを選択することができます。

信頼ゾーン インターフェイスを選択して、ドロップダウン リストからその IP を設定し、[ok] をクリックします。 

注:新しい nat 規則を受信規則の上に置くか、または元の nat 規則が新しく作成されたルールの precedece を引き継ぐようにしてください。 

構成を確定し、クライアント PC に戻ります。

検証とテスト u ターン NAT

我々 は、web ページを開く場合は今、インターネット情報サーバー 7 既定ページが読み込まれ、web サーバーの外部 IP アドレスに内部からアクセス可能です。

我々 は、Wireshark のパケット キャプチャを見て場合、クライアントは、ファイアウォールできます今 perfom NAT フローの両方の方向のため外部 ip アドレスからその応答パケットを受け取っています。

見てくれてありがとう!