NW機器

PaloAltoの送信元・宛先NAT設定方法

この記事は投稿日から1年以上経過しています。

当記事ではPaloAltoにおける送信元NAT・宛先NATの設定方法について記載します

若手エンジニア志望者を募集!支度金あり

設定・使用環境について

設定環境

※ゾーン設定は以下の通りです。

ethernet1/5 : Nat_Trust(Trust側)

ethernet1/6 : Nat_Untrust(Untrust側)

使用環境

PaloAlto:PA-440 PAN-OS10.2

サーバ:AlmaLinux8.6

送信元NATの設定方法

送信元NATは、送信元IPアドレスを他のIPアドレスに変換します。

今回の環境ではTrust側にある端末からの通信における送信元IPアドレスを他のIPアドレスに変換してアクセスすることを想定します。

NATポリシーの設定

POLICIES → NAT → 左下の⊕追加を選択

全般

  • 名前:任意で入力
  • 内容:説明文を任意で入力
  • タグ&ルールのグループ分け:任意で指定
  • NATタイプ:ipv4
  • 監査コメント:設定変更の履歴を記録する(任意)

 

元のパケット

  • 送信元ゾーン:Nat_Trust (通信の送り元はPC)
  • 宛先ゾーン:Nat_Untrust (通信の宛先はサーバ)
  • 宛先インターフェース:any
  • サービス:any
  • 送信元アドレス:172.23.61.0/24
  • 宛先アドレス:なし

 

変換済みパケット

  • 送信元NATは「送信元アドレスの変換」の中身を設定する
  • 変換タイプ:ダイナミックIPおよびポート(今回はethernet1/6ポートのIPアドレスに変換)
  • アドレスタイプ:インターフェースアドレス
  • インターフェース:ethernet1/6
  • IPアドレス:10.0.10.2/24

セキュリティポリシーの設定

POLICIES → セキュリティ → 左下の⊕追加を選択

全般

  • 名前:任意
  • ルールタイプ:default
  • 内容:任意の説明文を入力
  • タグ&ルールのグループ分け:任意で指定
  • 監査コメント:設定変更の履歴を記録する(任意)

 

送信元

  • 送信元ゾーン:Nat_Trust (通信の送り元はPC)
  • 送信元アドレス:172.23.61.0/24
  • 送信元ユーザー:なし
  • 送信元デバイス:なし

 

宛先

  • 宛先ゾーン:Nat_Untrust (通信の宛先はサーバ)
  • 宛先アドレス:なし
  • 宛先デバイス:なし

疎通確認

PCからサーバへpingを送り、送信元NATがされているかトラフィックログを確認します

# ping 10.0.10.1

MONITOR → トラフィック → 該当ログの虫眼鏡のマークをクリック

詳細ログビューを表示

送信元IPアドレスが変換されている事が確認できます。

宛先NATの設定方法

宛先NATは、宛先NAT用IPアドレスへアクセスした際に実際の宛先IPアドレスに変換します。

今回の環境ではサーバから宛先NAT用IPアドレス10.0.10.5へアクセスし、それを実際の宛先(PC)のIPアドレス172.23.61.123に宛先NATします。

NATポリシーの設定

POLICIES → NAT → 左下の⊕追加を選択

全般

  • 名前:任意
  • 内容:説明文を任意で入力
  • タグ&ルールのグループ分け:任意で指定
  • NATタイプ:ipv4
  • 監査コメント:設定変更の履歴を記録する(任意)

 

元のパケット

  • 送信元ゾーン:Nat_Untrust (通信の送り元はサーバ)
  • 宛先ゾーン:Nat_Untrust (サーバがアクセスするNAT用IPアドレスはUntrust側に位置するため、ゾーンはNat_Untrust側を指定)
  • 宛先インターフェース:any
  • サービス:any
  • 送信元アドレス:なし
  • 宛先アドレス:10.0.10.5

 

変換済みパケット

  • 宛先NATは「宛先アドレスの変換」の中身を設定する
  • 変換タイプ:スタティックIP
  • 変換後アドレス:172.23.61.123

セキュリティポリシー設定

POLICIES → セキュリティ → 左下の⊕追加を選択

全般

  • 名前:任意
  • ルールタイプ:default
  • 内容:任意の説明文を入力
  • タグ&ルールのグループ分け:任意で指定
  • 監査コメント:設定変更の履歴を記録する(任意)

 

送信元

  • 送信元ゾーン:Nat_Untrust (通信の送り元はサーバ)
  • 送信元アドレス:なし
  • 送信元ユーザー:なし
  • 送信元デバイス:なし

 

宛先

  • 宛先ゾーン:Nat_Trust (PaloAltoでは宛先ゾーンにTrust側のゾーンを設定する)
  • 宛先アドレス:10.0.10.5(PaloAltoでは宛先アドレスにNAT用IPアドレスを設定する)
  • 宛先デバイス:なし

疎通確認

サーバからPCへpingを送り、宛先NATがされているかトラフィックログを確認します

pingを送る先は宛先NAT用IPアドレスです

# ping 10.0.10.5

MONITOR → トラフィック → 該当ログの虫眼鏡のマークをクリック

宛先IPアドレスが実際の宛先IPアドレスに変換されている事が確認できます。

Tips

PCからサーバ宛てに通信を送る際の送信元IPと、サーバからPCに通信を送る際の宛先IPを同一のIP(10.0.10.5)で双方向的にNATする方法について。

NATポリシーの設定

POLICIES → NAT → 左下の⊕追加を選択

全般

  • 名前:任意
  • 内容:説明文を任意で入力
  • タグ&ルールのグループ分け:任意で指定
  • NATタイプ:ipv4
  • 監査コメント:設定変更の履歴を記録する(任意)

 

元のパケット

  • 送信元ゾーン:Nat_Trust (PCが属しているゾーン)
  • 宛先ゾーン:Nat_Untrust (サーバが属しているゾーン)
  • 宛先インターフェース:any
  • サービス:any
  • 送信元アドレス:172.23.61.123
  • 宛先アドレス:なし

 

変換済みパケット

  • 「送信元アドレスの変換」の中身を設定する
  • 変換タイプ:スタティックIP
  • 変換後アドレス:10.0.10.5
  • 双方向:チェックを入れる

セキュリティポリシーの設定

セキュリティポリシーの設定に関しては、上記項目で設定した送信元NATと宛先NATのポリシーをそれぞれ使用します。

疎通確認

※①と②の順番は逆でも問題ありません。

① PCからサーバへpingを送り、送信元NATがされているかトラフィックログを確認します。

pingを送る先は宛先NAT用IPアドレスです

# ping 10.0.10.1

MONITOR → トラフィック → 該当ログの虫眼鏡のマークをクリック

 

 

送信元IPアドレスが10.0.10.5に変換されている事が確認できます。

 

② サーバからPCへpingを送り、宛先NATがされているかトラフィックログを確認します。

# ping 10.0.10.5

MONITOR → トラフィック → 該当ログの虫眼鏡のマークをクリック

宛先IPアドレス10.0.10.5が変換されている事が確認できます。

端末1からPingの応答がない時の対処法

端末1のWindows上にて、コントロールパネル→システムとセキュリティ→Windowsファイアウォール→Windowsファイアウォールの有効化または無効化から全てのファイアウォールをオフにしてpingを試してください。

まとめ

今回は初心者向けにPaloAltoの送信元NATと宛先NATの設定方法を簡単に紹介いたしました。

今回の環境はかなり単純な構成となっておりますが、基本的な設定方法は複雑になっても変わりませんので、この記事を読んでNATの理解を深める第一歩になっていただけたら幸いです。

若手エンジニア志望者を募集!支度金あり

LogStare Collector 無償版

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

LSC v2.3.6 build 230904 リリースノート前のページ

LogStare CollectorにてUbuntuをSNMP(v1, v2c) で監視するための設定次のページ

ピックアップ記事

  1. IoT機器「Raspberry pi」とLogStare Collectorで温…
  2. ログフォワーダー「okurun.jar」について
  3. 自社製品をAMIにしてAWSマーケットプレイスへ出品
  4. Zabbixヒストリデータのレポート生成について

関連記事

  1. NW機器

    PaloAltoにおけるTLS通信を利用したSYSLOG送信方法

    当記事では、PaloAltoにおけるTLS通信を利用してSyslog …

  2. NW機器

    Nutanixを監視したいときのメトリクス監視項目例(API v2)

    当記事ではLogStare Collector(以下、LSC)でのNu…

  3. NW機器

    SonicWall UTMにSyslog送信設定を追加する方法について

    当記事では、SonicWall UTMにSyslog送信設定を追加する…

  4. NW機器

    Palo AltoにおけるCEF形式ログ送信設定

    当記事では、Palo Alto におけるCEF形式でのログの送信方法に…

  5. NW機器

    SonicWall UTMにてSNMP(v1/v2/v3)を有効化する方法について

    当記事では、SonicWall UTMにてSNMP(v1/v2/v3)…

若手エンジニア志望者を募集!
LogStare Collector 無償版
クラウド活用の「困った」「焦った」事例
月額200円でM356の監査ログの運用レベルUP LogStare M365
AWSのログ分析・モニタリングに 次世代のマネージド・セキュリティ・プラットフォーム LogStare

  1. デフォルト画像イメージ

    FortiGate

    FortiGateのSD-WAN設定について
  2. 実践記事

    DNSキャッシュポイズニングやってみた
  3. NW機器

    SonicWall UTMにSyslog送信設定を追加する方法について
  4. AWS/Azure

    AWSマーケットプレイス上から無償版のLogStare Collectorを試す…
  5. SNMPを触ってみた

    ログ分析・監視テクニック

    SNMPとは?新入社員が生まれてはじめて触ってみた!
PAGE TOP