NW機器

FortiGateの送信元NAT/宛先NAT設定について

この記事は投稿日から3年以上経過しています。

当記事では、FortiGateにおける送信元NAT(Source NAT)/宛先NAT(Destination NAT)の設定方法について記載します。

若手エンジニア志望者を募集!支度金あり

前提条件

本記事内の環境は、FortiGateのinternal1を外部側(172.16.10.0/24)、internal2を内部側(192.168.100.0/24)として設定します。
また、記事内で利用しているFortiGate のバージョン及び動作モードは以下の通りです。

  • FortiOS
    • v6.4.2 build 1723
  • 動作モード
    • NATモード

NATとは

NATとは、送信元IPアドレスもしくは宛先IPアドレスを事前に決められたルールに従い別のIPアドレスに変換する機能になります。

送信元NAT/宛先NATとは

送信元NATは、NAT機能により送信元IPアドレスが変換されることを指し、宛先NATは、NAT機能により宛先IPアドレスが変換されることを指します。

送信元NATの設定方法

FortiGateで送信元NATを行う場合、以下の2つの方法があります。

  • 発信インターフェイスのアドレスを使用
  • ダイナミックIPプールを使用

発信インターフェイスのアドレスを使用した設定方法

  1. [ポリシー&オブジェクト] > [ファイアウォールポリシー]を選択します。
  2. [新規作成]を選択します。
  3. ポリシーを作成し、赤枠のファイアウォール/ネットワークオプション内の[NAT]を有効化し、[IPプール設定]にて[発信インターフェイスのアドレスを使用]を選択します。
  4. [OK]を選択すると、設定したポリシーが作成されます。

ダイナミックIPプールを使用した設定方法

  1. [ポリシー&オブジェクト] > [IPプール]を選択します。
  2. [新規作成]を選択します。
  3. 各項目を設定します。

    • 名前:任意
    • タイプ:今回は、[オーバーロード]を設定します。
      • オーバーロード:外部1IPアドレス1個に対して、60416個の内部からのIPアドレスを変換する可能です。
      • 1対1:1つの内部IPアドレスに対して1つの外部IPアドレスが利用されます。下の外部IPアドレス/範囲にて指定されたIPアドレスの数だけ変換することが可能です。
      • 固定ポート範囲:外部IPアドレス/範囲と内部IPアドレスを指定します。指定した内部IPアドレスごとに変換される外部IPアドレス及びポート番号範囲が決定します。
      • ポートをブロック割り当て:外部IPアドレス/範囲とブロックサイズ及びユーザーあたりのブロック数を指定します。ブロックサイズは、1ブロックに含まれるポート番号の数でユーザーあたりのブロック数は、内部IPアドレスが使用できるブロック数を意味します。
    • 外部IPアドレス/範囲:NAT変換後の送信元IPアドレスを設定します。
      今回は、[172.16.10.200-172.16.10.200]を設定します。
    • ARPリプライ:有効
  4. [ポリシー&オブジェクト] > [ファイアウォールポリシー]を選択します。
  5. [新規作成]を選択します。
  6. ポリシーを作成し、赤枠のファイアウォール/ネットワークオプション内の[NAT]を有効化し、[IPプール設定]にて[ダイナミックIPプールを使う]を選択します。
  7. 赤枠の部分をクリックします。
  8. 右側から表示されたメニューより3にて作成したIPプールを選択します。
  9. [OK]を選択すると、設定したポリシーが作成されます。

宛先NATの設定方法

 

  1. [ポリシー&オブジェクト] > [バーチャルIP]を選択します。
  2. [新規作成] > [バーチャルIP]を選択します。
  3. 各項目を設定します。

    • 名前:任意
    • インターフェイス:any
      ※インターフェイスを指定することも可能です。
    • タイプ:スタティックNAT
    • 外部IPアドレス/範囲:外部からアクセスする際のIPアドレス
      今回は[172.16.10.100]を設定します。
    • マップされたIPアドレス/範囲:実サーバ等のIPアドレス
      今回は[192.168.100.1]を設定します。
  4. [ポリシー&オブジェクト] > [ファイアウォールポリシー]を選択します。
  5. [新規作成]を選択します。
  6. 各項目を設定します。

    • 着信インターフェイス:internal1
    • 発信インターフェイス:internal2
    • 送信元:all
    • 宛先:3にて作成したバーチャルIPを指定
    • サービス:任意のサービス(プロトコル)を指定します。
      ※今回は[all]ですべてのサービスを指定していますが、環境に合わせた適切なサービスを設定することを推奨します。
  7. [OK]を選択すると、設定したポリシーが作成されます。

Tips

バーチャルIP利用時のサーバ発の通信について

FortiGateのファイアウォールポリシー

上記の環境及び設定を行い、サーバからインターネットに通信を行った際のNAT変換後の送信元IPアドレスは次の通りになります。

  • サーバAからインターネット
    • NAT変換後の送信元IPアドレス:172.16.10.100
  • サーバBからインターネット
    • NAT変換後の送信元IPアドレス:172.16.10.254

バーチャルIP利用時、サーバAの送信元IPアドレスはバーチャルIPにNATされます。
ただし、送信元NAT設定でIPプールを使用している場合、IPプールが送信元IPアドレスとなります。

NATが行われているかの確認について

NATが正しく行われているかは、ログを見ることで確認することが可能です。
ログが表示されない場合は、以下の記事をご参照いただき設定変更をお願いします。
FortiGateで転送トラフィックログをGUIに表示する方法

  1. [ログ&レポート] > [転送トラフィック]を選択します。
  2. ログを選択すると、右側にログ詳細が表示されます。
    赤枠が送信元NAT/宛先NATの変換方法を表し、青枠がNAT変換されたIPアドレスを表します。
    ※今回は、送信元NATを行っているログを表しております。

以上でFortiGateにおける送信元NAT/宛先NATの設定方法についての説明を終了します。

若手エンジニア志望者を募集!支度金あり

LogStare Collector 無償版

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

FortiGateにてGUIにトラフィックログを表示するための設定方法前のページ

LSC v2.1.1 build 210324 リリースノート次のページ

ピックアップ記事

  1. ログフォワーダー「okurun.jar」について
  2. Zabbixヒストリデータのレポート生成について
  3. IoT機器「Raspberry pi」とLogStare Collectorで温…
  4. 自社製品をAMIにしてAWSマーケットプレイスへ出品

関連記事

  1. NW機器

    FortiOS v5.6.6におけるログ出力仕様の変更について

    FortiOS v5.6.6より、従来のログ出力方式に仕様変更が行われ…

  2. NW機器

    FortiGateのコンサーブモードについて

    UTMにはコンサーブモード(節約モード)に切り替わる製品があります…

  3. ログ分析・監視テクニック

    ログフォワーダー「okurun.jar」について

    当記事では、ログフォワーダー「okurun.jar」についての説明を記…

  4. A10ThunderをSNMPで監視する

    NW機器

    A10 ThunderをSNMPで監視するための設定方法

    当記事では、A10ネットワークス社  Thunder シリーズのSNM…

  5. NW機器

    LogStare Collectorにて、vCenter Server Appliance のSNM…

    当記事では、LogStare CollectorにおけるvCenter…

若手エンジニア志望者を募集!
LogStare Collector 無償版
クラウド活用の「困った」「焦った」事例
月額200円でM356の監査ログの運用レベルUP LogStare M365
AWSのログ分析・モニタリングに 次世代のマネージド・セキュリティ・プラットフォーム LogStare

  1. 実践記事

    DNSキャッシュポイズニングやってみた
  2. NW機器

    Nutanix Prism ElementにおけるSNMP監視/REST API…
  3. AWS/Azure

    AWSマーケットプレイス上から無償版のLogStare Collectorを試す…
  4. NW機器

    PaloAltoのIPsec IKEv1 Phase1におけるトラブルシューティ…
  5. NW機器

    SonicWall UTMにSyslog送信設定を追加する方法について
PAGE TOP