NW機器

FortiGateの送信元NAT/宛先NAT設定について

当記事では、FortiGateにおける送信元NAT(Source NAT)/宛先NAT(Destination NAT)の設定方法について記載します。

前提条件

本記事内の環境は、FortiGateのinternal1を外部側(172.16.10.0/24)、internal2を内部側(192.168.100.0/24)として設定します。
また、記事内で利用しているFortiGate のバージョン及び動作モードは以下の通りです。

  • FortiOS
    • v6.4.2 build 1723
  • 動作モード
    • NATモード

NATとは

NATとは、送信元IPアドレスもしくは宛先IPアドレスを事前に決められたルールに従い別のIPアドレスに変換する機能になります。

送信元NAT/宛先NATとは

送信元NATは、NAT機能により送信元IPアドレスが変換されることを指し、宛先NATは、NAT機能により宛先IPアドレスが変換されることを指します。

送信元NATの設定方法

FortiGateで送信元NATを行う場合、以下の2つの方法があります。

  • 発信インターフェイスのアドレスを使用
  • ダイナミックIPプールを使用

発信インターフェイスのアドレスを使用した設定方法

  1. [ポリシー&オブジェクト] > [ファイアウォールポリシー]を選択します。
  2. [新規作成]を選択します。
  3. ポリシーを作成し、赤枠のファイアウォール/ネットワークオプション内の[NAT]を有効化し、[IPプール設定]にて[発信インターフェイスのアドレスを使用]を選択します。
  4. [OK]を選択すると、設定したポリシーが作成されます。

ダイナミックIPプールを使用した設定方法

  1. [ポリシー&オブジェクト] > [IPプール]を選択します。
  2. [新規作成]を選択します。
  3. 各項目を設定します。

    • 名前:任意
    • タイプ:今回は、[オーバーロード]を設定します。
      • オーバーロード:外部1IPアドレス1個に対して、60416個の内部からのIPアドレスを変換する可能です。
      • 1対1:1つの内部IPアドレスに対して1つの外部IPアドレスが利用されます。下の外部IPアドレス/範囲にて指定されたIPアドレスの数だけ変換することが可能です。
      • 固定ポート範囲:外部IPアドレス/範囲と内部IPアドレスを指定します。指定した内部IPアドレスごとに変換される外部IPアドレス及びポート番号範囲が決定します。
      • ポートをブロック割り当て:外部IPアドレス/範囲とブロックサイズ及びユーザーあたりのブロック数を指定します。ブロックサイズは、1ブロックに含まれるポート番号の数でユーザーあたりのブロック数は、内部IPアドレスが使用できるブロック数を意味します。
    • 外部IPアドレス/範囲:NAT変換後の送信元IPアドレスを設定します。
      今回は、[172.16.10.200-172.16.10.200]を設定します。
    • ARPリプライ:有効
  4. [ポリシー&オブジェクト] > [ファイアウォールポリシー]を選択します。
  5. [新規作成]を選択します。
  6. ポリシーを作成し、赤枠のファイアウォール/ネットワークオプション内の[NAT]を有効化し、[IPプール設定]にて[ダイナミックIPプールを使う]を選択します。
  7. 赤枠の部分をクリックします。
  8. 右側から表示されたメニューより3にて作成したIPプールを選択します。
  9. [OK]を選択すると、設定したポリシーが作成されます。

宛先NATの設定方法

 

  1. [ポリシー&オブジェクト] > [バーチャルIP]を選択します。
  2. [新規作成] > [バーチャルIP]を選択します。
  3. 各項目を設定します。

    • 名前:任意
    • インターフェイス:any
      ※インターフェイスを指定することも可能です。
    • タイプ:スタティックNAT
    • 外部IPアドレス/範囲:外部からアクセスする際のIPアドレス
      今回は[172.16.10.100]を設定します。
    • マップされたIPアドレス/範囲:実サーバ等のIPアドレス
      今回は[192.168.100.1]を設定します。
  4. [ポリシー&オブジェクト] > [ファイアウォールポリシー]を選択します。
  5. [新規作成]を選択します。
  6. 各項目を設定します。

    • 着信インターフェイス:internal1
    • 発信インターフェイス:internal2
    • 送信元:all
    • 宛先:3にて作成したバーチャルIPを指定
    • サービス:任意のサービス(プロトコル)を指定します。
      ※今回は[all]ですべてのサービスを指定していますが、環境に合わせた適切なサービスを設定することを推奨します。
  7. [OK]を選択すると、設定したポリシーが作成されます。

Tips

バーチャルIP利用時のサーバ発の通信について

FortiGateのファイアウォールポリシー

上記の環境及び設定を行い、サーバからインターネットに通信を行った際のNAT変換後の送信元IPアドレスは次の通りになります。

  • サーバAからインターネット
    • NAT変換後の送信元IPアドレス:172.16.10.100
  • サーバBからインターネット
    • NAT変換後の送信元IPアドレス:172.16.10.254

バーチャルIP利用時、サーバAの送信元IPアドレスはバーチャルIPにNATされます。
ただし、送信元NAT設定でIPプールを使用している場合、IPプールが送信元IPアドレスとなります。

NATが行われているかの確認について

NATが正しく行われているかは、ログを見ることで確認することが可能です。
ログが表示されない場合は、以下の記事をご参照いただき設定変更をお願いします。
FortiGateで転送トラフィックログをGUIに表示する方法

  1. [ログ&レポート] > [転送トラフィック]を選択します。
  2. ログを選択すると、右側にログ詳細が表示されます。
    赤枠が送信元NAT/宛先NATの変換方法を表し、青枠がNAT変換されたIPアドレスを表します。
    ※今回は、送信元NATを行っているログを表しております。

以上でFortiGateにおける送信元NAT/宛先NATの設定方法についての説明を終了します。

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

FortiGateにてGUIにトラフィックログを表示するための設定方法前のページ

LSC v2.1.1 build 210324 リリースノート次のページ

ピックアップ記事

  1. Zabbixヒストリデータのレポート生成について
  2. ログフォワーダー「okurun.jar」について
  3. IoT機器「Raspberry pi」とLogStare Collectorで温…
  4. 自社製品をAMIにしてAWSマーケットプレイスへ出品

関連記事

  1. Windows/Linux

    Windows Server 2016 (2012) /Windows 10 にて、監査ログの出力設…

    当記事では、WMI における各種監査ログを出力するまでの設定方法を記載…

  2. Windows/Linux

    Windows Server (2016, 2012 R2)にSNMP (v1, v2c) 設定を追…

    当記事では、Windows Server にSNMP の設定を投入する…

  3. NW機器

    FortiGate・Palo AltoのSyslogが取得できない

    FortiGate・Palo Alto側での確認事項FortiGa…

  4. AWS/Azure

    自社製品をAMIにしてAWSマーケットプレイスへ出品

    はじめにかねてより弊社製品のAWSマーケットプレイス出品を目論んで…

  5. Windows/Linux

    Windows Server 2016 (2012) / Windows 10 にて、WMI 通信の…

    当記事では、LogStare Collector にて、Windows…

  6. Windows/Linux

    Windows ServerのDHCPログをLSCにて収集する方法

    当記事では、Windows ServerのDHCPログをLogStar…

secuavail

logstare collector

logstare collector

  1. ログ分析・監視テクニック

    nProbeであらゆる通信をログに記録し可視化する
  2. AWS/Azure

    AWSマーケットプレイス上から無償版のLogStare Collectorを試す…
  3. NW機器

    PaloAltoのIPsec IKEv1 Phase1におけるトラブルシューティ…
  4. NW機器

    Nutanix Prism ElementにおけるSNMP監視/REST API…
  5. NW機器

    SonicWall UTMにSyslog送信設定を追加する方法について
PAGE TOP