FortiGateのNATを利用する場合に、送信元IPアドレス変換(SNAT)は重要なポイントになります。
SNATにおいて適用されるIPアドレスは、さまざまな設定によって変化します。
意図しないIPアドレスに変換されることがありますので、SNAT時のIPアドレスはしっかりと設計しましょう。
目次
NATとは
パケット内の宛先/送信元IPアドレスを事前に決められたルールに従い変換を行う事です。
広義としてNAPT(IPマスカレード)などNAT技術全般も含むことがあります。
SNATとは
パケットの送信元IPアドレスを書き換える技術を指します。送信元ポート番号も変換することもあります。
FortiNet社が公開するガイドでは、SNAT(Source NAT)と記載されています。
SNATにおいて注意するべきこと
後述しますが、条件により送信元NATに用いられるIPアドレスは変化します。
SNATの設定方法
CentralNATは利用されておらず、ポリシーでの送信元NATの適用方法です。
- FortiGateにログインしたのち、「ポリシー&オブジェクト」 > 「ファイアウォールポリシー」 より対象ポリシーを選択します。
- 「ファイアウォール/ネットワークオプション」 から、NATのチェックを入れます。
- 特に要件がなければIPプール設定は、「発信インターフェースのアドレスを使用」を選択します。
選択されるIPアドレスの決定フロー
※宛先インターフェースに「any」を設定されている場合には「VIP設定のインターフェースとポリシーの宛先インターフェースが一致する」は「Yes」になります。
以上となります。
記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。
当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。