NW機器

FortiGateの送信元NAT/宛先NAT設定について

この記事は投稿日から1年以上経過しています。

当記事では、FortiGateにおける送信元NAT(Source NAT)/宛先NAT(Destination NAT)の設定方法について記載します。

前提条件

本記事内の環境は、FortiGateのinternal1を外部側(172.16.10.0/24)、internal2を内部側(192.168.100.0/24)として設定します。
また、記事内で利用しているFortiGate のバージョン及び動作モードは以下の通りです。

  • FortiOS
    • v6.4.2 build 1723
  • 動作モード
    • NATモード

NATとは

NATとは、送信元IPアドレスもしくは宛先IPアドレスを事前に決められたルールに従い別のIPアドレスに変換する機能になります。

送信元NAT/宛先NATとは

送信元NATは、NAT機能により送信元IPアドレスが変換されることを指し、宛先NATは、NAT機能により宛先IPアドレスが変換されることを指します。

送信元NATの設定方法

FortiGateで送信元NATを行う場合、以下の2つの方法があります。

  • 発信インターフェイスのアドレスを使用
  • ダイナミックIPプールを使用

発信インターフェイスのアドレスを使用した設定方法

  1. [ポリシー&オブジェクト] > [ファイアウォールポリシー]を選択します。
  2. [新規作成]を選択します。
  3. ポリシーを作成し、赤枠のファイアウォール/ネットワークオプション内の[NAT]を有効化し、[IPプール設定]にて[発信インターフェイスのアドレスを使用]を選択します。
  4. [OK]を選択すると、設定したポリシーが作成されます。

ダイナミックIPプールを使用した設定方法

  1. [ポリシー&オブジェクト] > [IPプール]を選択します。
  2. [新規作成]を選択します。
  3. 各項目を設定します。

    • 名前:任意
    • タイプ:今回は、[オーバーロード]を設定します。
      • オーバーロード:外部1IPアドレス1個に対して、60416個の内部からのIPアドレスを変換する可能です。
      • 1対1:1つの内部IPアドレスに対して1つの外部IPアドレスが利用されます。下の外部IPアドレス/範囲にて指定されたIPアドレスの数だけ変換することが可能です。
      • 固定ポート範囲:外部IPアドレス/範囲と内部IPアドレスを指定します。指定した内部IPアドレスごとに変換される外部IPアドレス及びポート番号範囲が決定します。
      • ポートをブロック割り当て:外部IPアドレス/範囲とブロックサイズ及びユーザーあたりのブロック数を指定します。ブロックサイズは、1ブロックに含まれるポート番号の数でユーザーあたりのブロック数は、内部IPアドレスが使用できるブロック数を意味します。
    • 外部IPアドレス/範囲:NAT変換後の送信元IPアドレスを設定します。
      今回は、[172.16.10.200-172.16.10.200]を設定します。
    • ARPリプライ:有効
  4. [ポリシー&オブジェクト] > [ファイアウォールポリシー]を選択します。
  5. [新規作成]を選択します。
  6. ポリシーを作成し、赤枠のファイアウォール/ネットワークオプション内の[NAT]を有効化し、[IPプール設定]にて[ダイナミックIPプールを使う]を選択します。
  7. 赤枠の部分をクリックします。
  8. 右側から表示されたメニューより3にて作成したIPプールを選択します。
  9. [OK]を選択すると、設定したポリシーが作成されます。

宛先NATの設定方法

 

  1. [ポリシー&オブジェクト] > [バーチャルIP]を選択します。
  2. [新規作成] > [バーチャルIP]を選択します。
  3. 各項目を設定します。

    • 名前:任意
    • インターフェイス:any
      ※インターフェイスを指定することも可能です。
    • タイプ:スタティックNAT
    • 外部IPアドレス/範囲:外部からアクセスする際のIPアドレス
      今回は[172.16.10.100]を設定します。
    • マップされたIPアドレス/範囲:実サーバ等のIPアドレス
      今回は[192.168.100.1]を設定します。
  4. [ポリシー&オブジェクト] > [ファイアウォールポリシー]を選択します。
  5. [新規作成]を選択します。
  6. 各項目を設定します。

    • 着信インターフェイス:internal1
    • 発信インターフェイス:internal2
    • 送信元:all
    • 宛先:3にて作成したバーチャルIPを指定
    • サービス:任意のサービス(プロトコル)を指定します。
      ※今回は[all]ですべてのサービスを指定していますが、環境に合わせた適切なサービスを設定することを推奨します。
  7. [OK]を選択すると、設定したポリシーが作成されます。

Tips

バーチャルIP利用時のサーバ発の通信について

FortiGateのファイアウォールポリシー

上記の環境及び設定を行い、サーバからインターネットに通信を行った際のNAT変換後の送信元IPアドレスは次の通りになります。

  • サーバAからインターネット
    • NAT変換後の送信元IPアドレス:172.16.10.100
  • サーバBからインターネット
    • NAT変換後の送信元IPアドレス:172.16.10.254

バーチャルIP利用時、サーバAの送信元IPアドレスはバーチャルIPにNATされます。
ただし、送信元NAT設定でIPプールを使用している場合、IPプールが送信元IPアドレスとなります。

NATが行われているかの確認について

NATが正しく行われているかは、ログを見ることで確認することが可能です。
ログが表示されない場合は、以下の記事をご参照いただき設定変更をお願いします。
FortiGateで転送トラフィックログをGUIに表示する方法

  1. [ログ&レポート] > [転送トラフィック]を選択します。
  2. ログを選択すると、右側にログ詳細が表示されます。
    赤枠が送信元NAT/宛先NATの変換方法を表し、青枠がNAT変換されたIPアドレスを表します。
    ※今回は、送信元NATを行っているログを表しております。

以上でFortiGateにおける送信元NAT/宛先NATの設定方法についての説明を終了します。

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

FortiGateにてGUIにトラフィックログを表示するための設定方法前のページ

LSC v2.1.1 build 210324 リリースノート次のページ

ピックアップ記事

  1. 自社製品をAMIにしてAWSマーケットプレイスへ出品
  2. IoT機器「Raspberry pi」とLogStare Collectorで温…
  3. ログフォワーダー「okurun.jar」について
  4. Zabbixヒストリデータのレポート生成について

関連記事

  1. paloalto-edl-hosting
  2. Windows/Linux

    AmazonLinux2において、aws cliのバージョンを1から2へ変更する方法について

    当記事では、AmazonLinux2において、aws cliのバージョ…

  3. FortiGateの冗長化構成におけるha-direct設定方法について

    NW機器

    FortiGateの冗長化構成(HA構成)におけるha-direct設定について

    当記事では、冗長構成(HA構成)のFortiGateにおけるha-di…

  4. Windows/Linux

    rsyslogをホスト名、IPアドレスごとにフォルダー分けする方法

    当記事では、rsyslogで受信したログを送信元ホスト名、IPアドレス…

  5. Windows/Linux

    Windows Server 2016 (2019,2012) / Windows 10,11 にて…

    当記事では、LogStare Collector にて、Windows…

  6. WatchGuard Fireboxのログを収集するための設定方法

    NW機器

    WatchGuard Fireboxのログを収集するための設定方法

    当記事では、WatchGuard社FireboxシリーズのログをSys…

Microsoft365もっと活用セミナー

ナレッジステアはセキュアヴェイルグループが運営しています

ネットワーク管理者向けセキュリティセミナー

無料で使えるシステム監視・ログ管理ソフト

  1. NW機器

    PaloAltoのIPsec IKEv1 Phase1におけるトラブルシューティ…
  2. SNMPを触ってみた

    ログ分析・監視テクニック

    SNMPとは?新入社員が生まれてはじめて触ってみた!
  3. NW機器

    Nutanix Prism ElementにおけるSNMP監視/REST API…
  4. AWS/Azure

    AWSマーケットプレイス上から無償版のLogStare Collectorを試す…
  5. NW機器

    SonicWall UTMにSyslog送信設定を追加する方法について
PAGE TOP