AWS、Azure、または GCP でホストされているファイアウォールに NAT を実装する際の考慮事項。

AWS、Azure、または GCP でホストされている VM シリーズ ファイアウォール。

• 2つの異なるゾーン(信頼と信頼、プライベートとパブリック、プライベートとDMZなど)でトラフィックを受信、処理、送信します。
• NATポリシーは、上記のトラフィックを容易にするためにファイアウォールで設定されています。
• 環境のその他の特性には、ファイアウォールに接続された新しく作成されたインターフェイスが含まれる場合があります。

Azure：

• VM ファイアウォール (Microsoft、2023) の関連するデータプレーン インターフェイスで IP 転送を有効にします。
• IP 転送は、新しいインターフェイスではデフォルトで無効になっており、新しいインターフェイスを使用して NAT を実行する場合は有効にする必要があります。
• 補足: (データプレーン) インターフェイスが新しく作成され、ファイアウォールがデプロイされた後に、Azure 高速ネットワークが有効になっていない可能性があります。 有効にすることをお勧めします。 参照: https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000saeoCAA

AWSの場合:

• VM ファイアウォール (Amazon Web Services、2024) の関連するデータプレーン インターフェイスで送信元/宛先チェックを無効にします。
• 送信元/宛先チェックは、新しいインターフェイスではデフォルトで有効になっており、新しいインターフェイスを使用してNATする場合は無効にする必要があります。

GCPの:

• VM Firewall の関連するデータプレーン インターフェースで IP 転送を有効にする(Google Cloud、2024)
• IP 転送は、新しいインターフェイスではデフォルトで無効になっており、新しいインターフェイスを使用して NAT を実行する場合は有効にする必要があります。

参照

アマゾン ウェブ サービス。 (2024). 弾力性のあるネットワーク インターフェイス。 AWS のドキュメント。https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html

グーグルクラウド。 (2024, 03 27). インスタンスの IP 転送を有効にします。 Google Cloud のドキュメント。https://cloud.google.com/vpc/docs/using-routes#canipforward

マイクロソフト。 (2023, 03 23). IP 転送を有効または無効にします。 Microsoft Learn - ドキュメント。https://learn.microsoft.com/en-us/azure/virtual-network/virtual-network-network-interface?tabs=azure-portal#enable-or-disable-ip-forwarding