Tech-Blogカテゴリにおけるサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

当記事では、FortiGateにおける送信元NAT(Source NAT)/宛先NAT(Destination NAT)の設定方法について記載します。

前提条件

本記事内の環境は、FortiGateのinternal1を外部側(172.16.10.0/24)、internal2を内部側(192.168.100.0/24)として設定します。
また、記事内で利用しているFortiGate のバージョン及び動作モードは以下の通りです。

  • FortiOS
    • v6.4.2 build 1723
  • 動作モード
    • NATモード

NATとは

NATとは、送信元IPアドレスもしくは宛先IPアドレスを事前に決められたルールに従い別のIPアドレスに変換する機能になります。

送信元NAT/宛先NATとは

送信元NATは、NAT機能により送信元IPアドレスが変換されることを指し、宛先NATは、NAT機能により宛先IPアドレスが変換されることを指します。

送信元NATの設定方法

FortiGateで送信元NATを行う場合、以下の2つの方法があります。

  • 発信インターフェイスのアドレスを使用
  • ダイナミックIPプールを使用

発信インターフェイスのアドレスを使用した設定方法

  1. [ポリシー&オブジェクト] > [ファイアウォールポリシー]を選択します。
  2. [新規作成]を選択します。
  3. ポリシーを作成し、赤枠のファイアウォール/ネットワークオプション内の[NAT]を有効化し、[IPプール設定]にて[発信インターフェイスのアドレスを使用]を選択します。
  4. [OK]を選択すると、設定したポリシーが作成されます。

ダイナミックIPプールを使用した設定方法

  1. [ポリシー&オブジェクト] > [IPプール]を選択します。
  2. [新規作成]を選択します。
  3. 各項目を設定します。

    • 名前:任意
    • タイプ:今回は、[オーバーライド]を設定します。
      • オーバーロード:外部1IPアドレス1個に対して、60416個の内部からのIPアドレスを変換する可能です。
      • 1対1:1つの内部IPアドレスに対して1つの外部IPアドレスが利用されます。下の外部IPアドレス/範囲にて指定されたIPアドレスの数だけ変換することが可能です。
      • 固定ポート範囲:外部IPアドレス/範囲と内部IPアドレスを指定します。指定した内部IPアドレスごとに変換される外部IPアドレス及びポート番号範囲が決定します。
      • ポートをブロック割り当て:外部IPアドレス/範囲とブロックサイズ及びユーザーあたりのブロック数を指定します。ブロックサイズは、1ブロックに含まれるポート番号の数でユーザーあたりのブロック数は、内部IPアドレスが使用できるブロック数を意味します。
    • 外部IPアドレス/範囲:NAT変換後の送信元IPアドレスを設定します。
      今回は、[172.16.10.200-172.16.10.200]を設定します。
    • ARPリプライ:有効
  4. [ポリシー&オブジェクト] > [ファイアウォールポリシー]を選択します。
  5. [新規作成]を選択します。
  6. ポリシーを作成し、赤枠のファイアウォール/ネットワークオプション内の[NAT]を有効化し、[IPプール設定]にて[ダイナミックIPプールを使う]を選択します。
  7. 赤枠の部分をクリックします。
  8. 右側から表示されたメニューより3にて作成したIPプールを選択します。
  9. [OK]を選択すると、設定したポリシーが作成されます。

宛先NATの設定方法

 

  1. [ポリシー&オブジェクト] > [バーチャルIP]を選択します。
  2. [新規作成] > [バーチャルIP]を選択します。
  3. 各項目を設定します。

    • 名前:任意
    • インターフェイス:any
      ※インターフェイスを指定することも可能です。
    • タイプ:スタティックNAT
    • 外部IPアドレス/範囲:外部からアクセスする際のIPアドレス
      今回は[172.16.10.100]を設定します。
    • マップされたIPアドレス/範囲:実サーバ等のIPアドレス
      今回は[192.168.100.1]を設定します。
  4. [ポリシー&オブジェクト] > [ファイアウォールポリシー]を選択します。
  5. [新規作成]を選択します。
  6. 各項目を設定します。

    • 着信インターフェイス:internal1
    • 発信インターフェイス:internal2
    • 送信元:all
    • 宛先:3にて作成したバーチャルIPを指定
    • サービス:任意のサービス(プロトコル)を指定します。
      ※今回は[all]ですべてのサービスを指定していますが、環境に合わせた適切なサービスを設定することを推奨します。
  7. [OK]を選択すると、設定したポリシーが作成されます。

Tips

バーチャルIP利用時のサーバ発の通信について

FortiGateのファイアウォールポリシー

上記の環境及び設定を行い、サーバからインターネットに通信を行った際のNAT変換後の送信元IPアドレスは次の通りになります。

  • サーバAからインターネット
    • NAT変換後の送信元IPアドレス:172.16.10.100
  • サーバBからインターネット
    • NAT変換後の送信元IPアドレス:172.16.10.254

バーチャルIP利用時、サーバAの送信元IPアドレスはバーチャルIPにNATされます。
ただし、送信元NAT設定でIPプールを使用している場合、IPプールが送信元IPアドレスとなります。

NATが行われているかの確認について

NATが正しく行われているかは、ログを見ることで確認することが可能です。
ログが表示されない場合は、以下の記事をご参照いただき設定変更をお願いします。
FortiGateで転送トラフィックログをGUIに表示する方法

  1. [ログ&レポート] > [転送トラフィック]を選択します。
  2. ログを選択すると、右側にログ詳細が表示されます。
    赤枠が送信元NAT/宛先NATの変換方法を表し、青枠がNAT変換されたIPアドレスを表します。
    ※今回は、送信元NATを行っているログを表しております。

以上でFortiGateにおける送信元NAT/宛先NATの設定方法についての説明を終了します。


この情報の発信者

セキュアヴェイルグループ(SecuAvail Inc. | CareAvail Inc. | LogStare Inc.)