FortiGate

【FortiGate】SNAT時に変換される送信元IPアドレスの選定フロー

FortiGateのNATを利用する場合に、送信元IPアドレス変換(SNAT)は重要なポイントになります。
SNATにおいて適用されるIPアドレスは、さまざまな設定によって変化します。
意図しないIPアドレスに変換されることがありますので、SNAT時のIPアドレスはしっかりと設計しましょう。

NATとは

パケット内の宛先/送信元IPアドレスを事前に決められたルールに従い変換を行う事です。
広義としてNAPT(IPマスカレード)などNAT技術全般も含むことがあります。

SNATとは

パケットの送信元IPアドレスを書き換える技術を指します。送信元ポート番号も変換することもあります。
FortiNet社が公開するガイドでは、SNAT(Source NAT)と記載されています。

SNATにおいて注意するべきこと

後述しますが、条件により送信元NATに用いられるIPアドレスは変化します。

SNATの設定方法

CentralNATは利用されておらず、ポリシーでの送信元NATの適用方法です。

  1. FortiGateにログインしたのち、「ポリシー&オブジェクト」 > 「ファイアウォールポリシー」 より対象ポリシーを選択します。
  2. 「ファイアウォール/ネットワークオプション」 から、NATのチェックを入れます。
  3. 特に要件がなければIPプール設定は、「発信インターフェースのアドレスを使用」を選択します。

選択されるIPアドレスの決定フロー

※宛先インターフェースに「any」を設定されている場合には「VIP設定のインターフェースとポリシーの宛先インターフェースが一致する」は「Yes」になります。

以上となります。

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

FortiGate NAT設定(VIP)の確認事項前のページ

【FortiGate】トラフィックログ生成のタイミングについて次のページ

ピックアップ記事

  1. Zabbixヒストリデータのレポート生成について
  2. IoT機器「Raspberry pi」とLogStare Collectorで温…
  3. 自社製品をAMIにしてAWSマーケットプレイスへ出品
  4. ログフォワーダー「okurun.jar」について

関連記事

  1. NW機器

    FortiGateにてGUIにトラフィックログを表示するための設定方法

    FortiGateではトラフィックログを収集できますが、FortiGa…

  2. NW機器

    FortiGateのVDOM毎にログの転送先syslogサーバ指定を行う設定について

    当記事では、FortiGateのVDOM毎にログの転送先syslogサ…

  3. NW機器

    OpenSSLの脆弱性(CVE-2022-0778)に対する各UTM/IPS/WAFの対応状況につい…

    セキュアヴェイルの新入社員となりました新社会人 0x90 がOpenS…

  4. FortiGate

    FortiGate NAT設定(VIP)の確認事項

    正しくNATの設計を行わないと、NATが動作しない、意図した送信元IP…

  5. FORTIGATEのAUTOMATION機能を用いてTEAMSへ通知

    NW機器

    FortiGateのAutomation機能を用いてTeamsへ通知してみた

    当記事では、FortiGateのAutomation機能を設定し、Mi…

ナレッジステアはセキュアヴェイルグループが運営しています

ネットワーク管理者向けセキュリティセミナー

無料で使えるシステム監視・ログ管理ソフト

  1. NW機器

    PaloAltoのIPsec IKEv1 Phase1におけるトラブルシューティ…
  2. SNMPを触ってみた

    ログ分析・監視テクニック

    SNMPとは?新入社員が生まれてはじめて触ってみた!
  3. 実践記事

    DNSキャッシュポイズニングやってみた
  4. AWS/Azure

    AWSマーケットプレイス上から無償版のLogStare Collectorを試す…
  5. ログ分析・監視テクニック

    nProbeであらゆる通信をログに記録し可視化する
PAGE TOP