当記事では、FortiGateにおける送信元NAT(Source NAT)/宛先NAT(Destination NAT)の設定方法について記載します。

前提条件

本記事内の環境は、FortiGateのinternal1を外部側(172.16.10.0/24)、internal2を内部側(192.168.100.0/24)として設定します。
また、記事内で利用しているFortiGate のバージョン及び動作モードは以下の通りです。

• FortiOS
  • v6.4.2 build 1723
• 動作モード
  • NATモード

NATとは

NATとは、送信元IPアドレスもしくは宛先IPアドレスを事前に決められたルールに従い別のIPアドレスに変換する機能になります。

送信元NAT/宛先NATとは

送信元NATは、NAT機能により送信元IPアドレスが変換されることを指し、宛先NATは、NAT機能により宛先IPアドレスが変換されることを指します。

送信元NATの設定方法

FortiGateで送信元NATを行う場合、以下の2つの方法があります。

• 発信インターフェイスのアドレスを使用
• ダイナミックIPプールを使用

発信インターフェイスのアドレスを使用した設定方法

1. [ポリシー＆オブジェクト] > [ファイアウォールポリシー]を選択します。
   
2. [新規作成]を選択します。
   
3. ポリシーを作成し、赤枠のファイアウォール/ネットワークオプション内の[NAT]を有効化し、[IPプール設定]にて[発信インターフェイスのアドレスを使用]を選択します。
   
4. [OK]を選択すると、設定したポリシーが作成されます。
   

ダイナミックIPプールを使用した設定方法

1. [ポリシー＆オブジェクト] > [IPプール]を選択します。
   
2. [新規作成]を選択します。
   
3. 各項目を設定します。
   
   • 名前：任意
   • タイプ：今回は、[オーバーロード]を設定します。
     • オーバーロード：外部1IPアドレス1個に対して、60416個の内部からのIPアドレスを変換する可能です。
     • 1対1：1つの内部IPアドレスに対して1つの外部IPアドレスが利用されます。下の外部IPアドレス/範囲にて指定されたIPアドレスの数だけ変換することが可能です。
     • 固定ポート範囲：外部IPアドレス/範囲と内部IPアドレスを指定します。指定した内部IPアドレスごとに変換される外部IPアドレス及びポート番号範囲が決定します。
     • ポートをブロック割り当て：外部IPアドレス/範囲とブロックサイズ及びユーザーあたりのブロック数を指定します。ブロックサイズは、1ブロックに含まれるポート番号の数でユーザーあたりのブロック数は、内部IPアドレスが使用できるブロック数を意味します。
   • 外部IPアドレス/範囲：NAT変換後の送信元IPアドレスを設定します。
     今回は、[172.16.10.200-172.16.10.200]を設定します。
   • ARPリプライ：有効
4. [ポリシー＆オブジェクト] > [ファイアウォールポリシー]を選択します。
   
5. [新規作成]を選択します。
   
6. ポリシーを作成し、赤枠のファイアウォール/ネットワークオプション内の[NAT]を有効化し、[IPプール設定]にて[ダイナミックIPプールを使う]を選択します。
   
7. 赤枠の部分をクリックします。
   
8. 右側から表示されたメニューより3にて作成したIPプールを選択します。
   
9. [OK]を選択すると、設定したポリシーが作成されます。
   

宛先NATの設定方法

 

1. [ポリシー＆オブジェクト] > [バーチャルIP]を選択します。
   
2. [新規作成] > [バーチャルIP]を選択します。
   
3. 各項目を設定します。
   
   • 名前：任意
   • インターフェイス：any
     ※インターフェイスを指定することも可能です。
   • タイプ：スタティックNAT
   • 外部IPアドレス/範囲：外部からアクセスする際のIPアドレス
     今回は[172.16.10.100]を設定します。
   • マップされたIPアドレス/範囲：実サーバ等のIPアドレス
     今回は[192.168.100.1]を設定します。
4. [ポリシー＆オブジェクト] > [ファイアウォールポリシー]を選択します。
   
5. [新規作成]を選択します。
   
6. 各項目を設定します。
   
   • 着信インターフェイス：internal1
   • 発信インターフェイス：internal2
   • 送信元：all
   • 宛先：3にて作成したバーチャルIPを指定
   • サービス：任意のサービス(プロトコル)を指定します。
     ※今回は[all]ですべてのサービスを指定していますが、環境に合わせた適切なサービスを設定することを推奨します。
7. [OK]を選択すると、設定したポリシーが作成されます。
   

Tips

バーチャルIP利用時のサーバ発の通信について

FortiGateのファイアウォールポリシー

上記の環境及び設定を行い、サーバからインターネットに通信を行った際のNAT変換後の送信元IPアドレスは次の通りになります。

• サーバAからインターネット
  • NAT変換後の送信元IPアドレス：172.16.10.100
• サーバBからインターネット
  • NAT変換後の送信元IPアドレス：172.16.10.254

バーチャルIP利用時、サーバAの送信元IPアドレスはバーチャルIPにNATされます。
ただし、送信元NAT設定でIPプールを使用している場合、IPプールが送信元IPアドレスとなります。

NATが行われているかの確認について

NATが正しく行われているかは、ログを見ることで確認することが可能です。
ログが表示されない場合は、以下の記事をご参照いただき設定変更をお願いします。
FortiGateで転送トラフィックログをGUIに表示する方法

1. [ログ＆レポート] > [転送トラフィック]を選択します。
   
2. ログを選択すると、右側にログ詳細が表示されます。
   赤枠が送信元NAT/宛先NATの変換方法を表し、青枠がNAT変換されたIPアドレスを表します。
   ※今回は、送信元NATを行っているログを表しております。
   

以上でFortiGateにおける送信元NAT/宛先NATの設定方法についての説明を終了します。

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。