Palo Alto ダイナミック NAPT の設定方法

ポリシー

動作確認環境

  • PA-200
    • Version 8.1.19

検証構成

  • Trust ゾーンから Untrust ゾーンへの通信に対して Palo Alto でダイナミック NAPT を適用します
  • NAPT 後の送信元 IP アドレスは Palo Alto の出力インターフェースの IP アドレスとします

ダイナミック NAPT の設定方法

[Policies → NAT] 画面で下側にある [追加] をクリックします。

NAT ポリシールール設定画面が表示されるため、各項目を設定していきます。

まず [全般] タブでは名前欄に任意のルール名を入力します。

次に [元のパケット] タブを設定します。

  • 送信元ゾーン: 今回の例では Trust ゾーンが送信元ゾーンです
  • 宛先ゾーン: 今回の例では Untrust ゾーンが宛先ゾーンです
  • 宛先インターフェイス/サービス: 今回の例では特に限定しないので any のままとします
  • 送信元アドレス: 今回の例では 192.168.1.0/24 が送信元アドレスです
  • 宛先アドレス: 今回の例では特に限定しないので「いずれか」にチェックを入れたままとします

最後に [変換済みパケット] を設定していきます。

  • 送信元アドレスの変換
    • 変換タイプ: ダイナミック NAPT にするため「ダイナミック IP およびポート」を選択します
    • アドレスタイプ: 今回の例では出力インターフェースの IP アドレスに変換するため「インターフェイス アドレス」を選択します
    • インターフェイス: 出力インターフェースである ethernet1/1 を選択します
    • IP アドレス: ethernet1/1 の IP アドレスである 10.1.1.1/24 を選択します
  • 宛先アドレスの変換
    • 変換タイプ: 宛先 NAT はしないため「None」のままとします

以上で NAT ルールの設定は完了です。

なお、CLI で上記設定をする場合は以下のコマンドとなります。

set rulebase nat rules NAT01 source-translation dynamic-ip-and-port interface-address ip 10.1.1.1/24
set rulebase nat rules NAT01 source-translation dynamic-ip-and-port interface-address interface ethernet1/1
set rulebase nat rules NAT01 to Untrust
set rulebase nat rules NAT01 from Trust
set rulebase nat rules NAT01 source Addr_192.168.1.0_32
set rulebase nat rules NAT01 destination any
set rulebase nat rules NAT01 service any

動作確認とセッションテーブルの確認

show session all [source <IP>] コマンドでセッションテーブルを表示できます。

admin@PA-200> show session all filter source 192.168.1.1

--------------------------------------------------------------------------------
ID          Application    State   Type Flag  Src[Sport]/Zone/Proto (translated IP[Port])
Vsys                                          Dst[Dport]/Zone (translated IP[Port])
--------------------------------------------------------------------------------
241          ntp            ACTIVE  FLOW  NS   192.168.1.1[123]/Trust/17  (10.1.1.1[37573])
vsys1                                          133.243.238.163[123]/Untrust  (133.243.238.163[123])

admin@PA-200> show session all filter source 192.168.1.100

--------------------------------------------------------------------------------
ID          Application    State   Type Flag  Src[Sport]/Zone/Proto (translated IP[Port])
Vsys                                          Dst[Dport]/Zone (translated IP[Port])
--------------------------------------------------------------------------------
217          ssl            ACTIVE  FLOW  NS   192.168.1.100[55183]/Trust/6  (10.1.1.1[51287])
vsys1                                          183.181.89.54[993]/Untrust  (183.181.89.54[993])

上記ログから、送信元アドレスが 192.168.1.1、192.168.1.100 のいずれの場合も送信元アドレスが 10.1.1.1 に変換されていることが分かります。

Palo Alto 送信元 NAT の設定方法と NAT テストコマンド
動作確認環境 PA-200 Version 8.1.19 NAT 処理プロセスに関する基礎知識 NAT を設定するにあたり、まずパケット処理プロセスについて把握してください。 Palo Alto ファイアウォールがパケット受信時の各処理の順...
palofw-lab.com
2023.02.19
Palo Alto 宛先 NAT の設定方法と NAT テストコマンド
動作確認環境 PA-200 Version 8.1.19 NAT 処理プロセスに関する基礎知識 NAT を設定するにあたり、まずパケット処理プロセスについて把握してください。 Palo Alto ファイアウォールがパケット受信時の各処理の順...
palofw-lab.com
2023.02.19

Palo Alto ポートフォワーディング(ポート開放)の設定方法
動作確認環境 PA-200 Version 8.1.19 Palo Alto でポートフォワーディングを行う ここでいうポートフォワーディング(ポート開放)とは、外部から特定の IP アドレスの特定ポート宛に通信があったときに、内部の特定の...
palofw-lab.com
2023.02.23

【全記事リスト】Palo Alto 設計構築用ナレッジまとめ
基礎知識 Palo Alto 初期アドレス、初期ユーザパスワード【管理アクセス用】 Palo Alto コンフィグの種類とコミットとは【基礎知識】 Palo Alto ホスト名とドメイン名の設定方法 Palo Alto 管理インターフェース...
palofw-lab.com
2023.02.11

コメント

Ads Blocker Image Powered by Code Help Pro

広告ブロッカーが検出されました

当ブログは広告ブロッカーを利用しての閲覧に対応していません。

閲覧するためにはブラウザの拡張機能で広告ブロッカーを無効化してください。

We have detected that you are using extensions to block ads. Please support us by disabling these ads blocker.

タイトルとURLをコピーしました