|
|
 |
 |
ここでは、SSG/NetScreenでソースNATを設定して、どのようにソースアドレスとポートが変換されるかを確認します。
|
|
目次
・WebUIでの設定
・CLIでの設定
WebUIでの設定
ソースNATは、ソースアドレスがプライベートアドレスの場合に、送信元をグローバルアドレスにしてインターネットに接続する際に使われます。特徴は、ソースNATを設定した機器において、TrustゾーンのソースアドレスとソースポートがそれぞれUntrustのアドレスのポートに変換されるということです。
ソースNATの設定
ソースNATを設定する場合は、Trustゾーンののインターフェイスにて設定します。
FW1(NetScreen-5GT)にログインし、メニューの、Network > Interfaces > Trustゾーン(192.168.1.254/24)の「Edit」をクリックすると、以下の画面が表示されます。
Interface ModeのNATのラジオボタンをクリックして、「OK」をクリックしてください。これでソースNATの設定は終了です。
では、PCからサーバに接続して、それからログを見てみましょう。FW2側のポリシーは全て許可に変更してあります。
FW1(PC)側 Trust → Untrust
メニューの、Reports > Policies > Traffic Logをクリックすると、上記のように表示されます。
Trust → Untrustのログです。
ソースアドレスはPC1とPC2のIPアドレスですが、変換後のソースアドレスを見ると、それぞれIPアドレスとポートがUntrustのアドレスとポートに変わっています。
次に、FW2(サーバ)側のログを見てみましょう。
FW2 Untrust → Trust
PC1とPC2から来たアドレスがFW1のUntrustのアドレスとポートに変わっています。
CLIでの設定
・FW1(NetScreen-5GT)
アドレス設定
set interface trust ip 192.168.1.254/24
set interface trust nat ← Trust側をnatに変更します。
set interface untrust ip 172.30.1.1/30
set interface untrust route
ポリシー
set policy id 1 from "Trust" to "Untrust" "Any"
"Any" "ANY" permit log
set policy id 1
exit
set policy id 2 from "Untrust" to "Trust" "Any"
"Any" "ANY" permit log
set policy id 2
exit
ルーティング
set route 192.168.2.0/24 interface untrust gateway 172.30.1.2
・FW2(SSG5)
アドレス設定
set interface "ethernet0/0" zone "Untrust"
set interface "bgroup0" zone "Trust"
set interface bgroup0 port ethernet0/2
set interface bgroup0 port ethernet0/3
set interface bgroup0 port ethernet0/4
set interface bgroup0 port ethernet0/5
set interface bgroup0 port ethernet0/6
set interface ethernet0/0 ip 172.30.1.2/30
set interface ethernet0/0 route
set interface bgroup0 ip 192.168.2.254/24
set interface bgroup0 route
ポリシー
set policy id 1 from "Trust" to "Untrust" "Any"
"Any" "ANY" permit log
set policy id 1
exit
set policy id 2 from "Untrust" to "Trust" "Any"
"Any" "ANY" permit log
set policy id 2
exit
ルーティング
set route 192.168.1.0/24 interface ethernet0/0 gateway 172.30.1.1
演習目次に戻る
総合案内に戻る
|
|
|
