FortiGate

【FortiGate】SNAT時に変換される送信元IPアドレスの選定フロー

FortiGateのNATを利用する場合に、送信元IPアドレス変換(SNAT)は重要なポイントになります。
SNATにおいて適用されるIPアドレスは、さまざまな設定によって変化します。
意図しないIPアドレスに変換されることがありますので、SNAT時のIPアドレスはしっかりと設計しましょう。

NATとは

パケット内の宛先/送信元IPアドレスを事前に決められたルールに従い変換を行う事です。
広義としてNAPT(IPマスカレード)などNAT技術全般も含むことがあります。

SNATとは

パケットの送信元IPアドレスを書き換える技術を指します。送信元ポート番号も変換することもあります。
FortiNet社が公開するガイドでは、SNAT(Source NAT)と記載されています。

SNATにおいて注意するべきこと

後述しますが、条件により送信元NATに用いられるIPアドレスは変化します。

SNATの設定方法

CentralNATは利用されておらず、ポリシーでの送信元NATの適用方法です。

  1. FortiGateにログインしたのち、「ポリシー&オブジェクト」 > 「ファイアウォールポリシー」 より対象ポリシーを選択します。
  2. 「ファイアウォール/ネットワークオプション」 から、NATのチェックを入れます。
  3. 特に要件がなければIPプール設定は、「発信インターフェースのアドレスを使用」を選択します。

選択されるIPアドレスの決定フロー

※宛先インターフェースに「any」を設定されている場合には「VIP設定のインターフェースとポリシーの宛先インターフェースが一致する」は「Yes」になります。

以上となります。

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

FortiGate NAT設定(VIP)の確認事項前のページ

【FortiGate】トラフィックログ生成のタイミングについて次のページ

ピックアップ記事

  1. ログフォワーダー「okurun.jar」について
  2. 自社製品をAMIにしてAWSマーケットプレイスへ出品
  3. Zabbixヒストリデータのレポート生成について
  4. IoT機器「Raspberry pi」とLogStare Collectorで温…

関連記事

  1. NW機器

    FortiGateにおけるTLS通信を利用したSYSLOG送信方法

    当記事では、FortiGateにおけるTLS通信を利用してSyslog…

  2. FortiGateの冗長化構成におけるha-direct設定方法について

    NW機器

    FortiGateの冗長化構成(HA構成)におけるha-direct設定について

    当記事では、冗長構成(HA構成)のFortiGateにおけるha-di…

  3. PaloAlto

    【2022/04/07更新】Spring Frameworkの脆弱性(CVE-2022-22965)…

    ※本記事の内容は、2022年4月5日現在の公開情報をもとに記載しており…

  4. NW機器

    FortiGateの送信元NAT/宛先NAT設定について

    当記事では、FortiGateにおける送信元NAT(Source NA…

  5. NW機器

    AWS Transit Gateway で集約したトラフィックをFortiGate で精査する

    当記事では、AWS Transit Gateway を用いて通信を集約…

  6. FortiGate

    FortiGate NAT設定(VIP)の確認事項

    正しくNATの設計を行わないと、NATが動作しない、意図した送信元IP…

LogStareセミナー

月額200円でM356の監査ログの運用レベルUP LogStare M365

AWSのログ分析・モニタリングに 次世代のマネージド・セキュリティ・プラットフォーム LogStare

  1. SNMPを触ってみた

    ログ分析・監視テクニック

    SNMPとは?新入社員が生まれてはじめて触ってみた!
  2. NW機器

    SonicWall UTMにSyslog送信設定を追加する方法について
  3. デフォルト画像イメージ

    FortiGate

    FortiGateのSD-WAN設定について
  4. NW機器

    PaloAltoのIPsec IKEv1 Phase1におけるトラブルシューティ…
  5. ログ分析・監視テクニック

    nProbeであらゆる通信をログに記録し可視化する
PAGE TOP