DIPP の永続的 NAT を構成する方法

• パロアルトのファイアウォール
• PAN-OS 10.1.6 以降(VM 製品ライン向け)
• PAN-OS 10.1.7 以降 - その他すべてのファイアウォール
• 永続的な NAT

1. DIPP の永続的 NAT を有効にするには

>set system setting persistent-dipp enable yes

2. DIPP の永続的 NAT を無効にするには、次の手順を実行します。

>set system setting persistent-dipp enable no

3. 有効または無効にすると、システムの再起動が必要になります

>request restart system

手記：

• この情報は、『PAN-OS 新機能ガイド』に記載されています。
• HA が設定されている場合は、もう一方の HA ピアでこの手順を繰り返します。

• 送信元NATにはさまざまなタイプがあり、その1つがダイナミックIPおよびポート(DIPP)です。
• VoIP、ビデオ、およびDIPPを利用するその他のアプリケーションにはSTUNプロトコルが必要であり、DIPP NATは対称NATメカニズムを使用します。 これにより、STUN自体との互換性の問題が生じます。
• DIPP の永続的 NAT が有効な場合、プライベート送信元 IP アドレス/ポートのペアから特定のパブリック(変換された)送信元 IP アドレス/ポートのペアへのバインドは、同じ元の送信元 IP アドレス/ポートのペアで着信する後続のセッションで保持されます。
• 次の例は、3 つのセッションを示しています。

• この例では、元の送信元 IP アドレス/ポート 10.1.1.5:2966 が、セッション 1 で変換された送信元 IP アドレス/ポート 192.168.1.6:1077 にバインドされています。
• セッション 2 とセッション 3 では、セッション 1 と同じ元の送信元 IP アドレス/ポートを持ちますが、宛先アドレスは異なります。
• バインディングの永続性は、その送信元 IP アドレス/ポートのペアのすべてのセッションが終了した後に終了します。
• この例のセッション 1 では、宛先ポートはデフォルトの STUN ポートである 3478 です。
• DIPP の永続的 NAT を有効にすると、その後に設定されたすべての NAT ルールと NAT64 ルールに適用されます。これはグローバル設定です。 管理プレーンまたはデータプレーンのログには、NAT DIPP/STUN サポートが有効になっていることが示されます
• 有効/無効にすると、FWの予期しない再起動またはアップグレード/ダウングレード・イベント中に構成が存在する