動作確認環境
- PA-200
- Version 8.1.19
NAT 処理プロセスに関する基礎知識
NAT を設定するにあたり、まずパケット処理プロセスについて把握してください。
Palo Alto ファイアウォールがパケット受信時の各処理の順序は以下の通りです。
NAT に関わる処理プロセス
- パケットを着信したインターフェースから送信元ゾーンが確定する
- 入力パケットの宛先 IP アドレスに基いてルーティングされ、出力インターフェース及び宛先ゾーンが決定される
- この時点の [送信元/宛先] IP アドレス、及び [送信元/宛先] ゾーンに基いて NAT ルールの適用有無を検査・確定する
- NAT 後の宛先 IP アドレスに基いて再度ルーティングされ、宛先ゾーンが再決定される(宛先 NAT が適用される場合)
- NAT 前の [送信元/宛先] IP アドレス、及びこの時点での [送信元/宛先] ゾーンに基づいて、一致するセキュリティポリシーを検査・適用する
- [送信元/宛先] アドレス、送信元ゾーン: NAT 前のもので検査
- 宛先ゾーン: NAT 後のもので検査
- 一致する NAT ルールに基づいて、出力時に送信元・宛先アドレス、ポート番号を変換する
送信元 NAT だけを行う場合はそれほど気にしなくても大丈夫ですが、宛先 NAT を行う場合はセキュリティポリシーの設定などに注意が必要です。
宛先 NAT の設定方法
例として以下の構成を考えます。
PC-A から PC-B 宛に通信する際に、PC-A での宛先 IP アドレスを 10.10.1.100 とし、Palo Alto で宛先 IP アドレスを 10.11.1.254 に変換させるよう設定します。
宛先 NAT の設定手順
- NAT ルールを設定する
- セキュリティポリシーを設定する
NAT ルールの設定
NAT ルールの追加は [Policies → NAT] 画面の [追加] から行います。
以下の NAT ポリシールール設定画面が表示されます。
まず全般タブでは以下の項目を設定します。
- 名前: 任意の NAT ルール名を入力します
- 内容: 説明文を設定したい場合は入力します
- タグ: タグを指定したい場合は指定します
- NAT タイプ: ipv4 とします
次に [元のパケット] タブでは以下の項目を設定します。
- 送信元ゾーン: NAT 対象通信の送信元ゾーンを指定します
- 宛先ゾーン: NAT 対象通信の宛先ゾーンを指定します(変換前の宛先で考える)
- 例では、変換前の宛先である 10.10.1.100 に基づき trust ゾーンとなる
- 宛先インターフェース: NAT 対象通信の宛先インターフェースを指定します
- サービス: NAT 対象通信のサービスを指定します(変換前のもの)
- 送信元アドレス: NAT 対象通信の送信元アドレスを指定します(変換前のもの)
- 宛先アドレス: NAT 対象通信の宛先アドレスを指定します(変換前のもの)
- 例では、変換前の宛先である 10.10.1.100/32 のアドレスオブジェクトを設定
最後に [変換済みパケット] タブで以下の項目を設定します。
- 送信元アドレスの変換
- 変換タイプ: None とします
- 宛先アドレスの変換
- 変換タイプ: スタティック IP とします
- 変換後アドレス: 変換後の宛先アドレスを指定します
- 例では、変換後の宛先である 10.11.1.254/32 のアドレスオブジェクトを指定
- 変換済みポート: 宛先ポートを変換する場合のみ、変換後の宛先ポートを指定
CLI でこれらの設定をする場合は以下コマンドです。
set rulebase nat rules NAT_Rule_01 destination-translation translated-address Addr_10.11.1.254_32
set rulebase nat rules NAT_Rule_01 to trust
set rulebase nat rules NAT_Rule_01 from trust
set rulebase nat rules NAT_Rule_01 source any
set rulebase nat rules NAT_Rule_01 destination Addr_10.10.1.100_32
set rulebase nat rules NAT_Rule_01 service anyセキュリティポリシーの設定
セキュリティポリシーについては注意すべき点だけ記載しますが、宛先 NAT をする場合は以下の点に注意して設定してください。
- 宛先ゾーン: NAT 変換後の宛先アドレスに基づいて決まるゾーンを設定する
- 例では、NAT 変換後の宛先のゾーンは untrust になります
- 宛先アドレス: NAT 変換前のアドレスを設定する
NAT のテストコマンド
実際に通信を行わなくても以下のコマンドで NAT のテストができます。
test nat-policy-match from <from-zone> to <to-zone> source <source-ip> destination <dest-ip> destination-port <dest-port> protocol <protocol-type><protocol-type>は以下の通り- 1: ICMP
- 6: TCP
- 17: UDP
admin@PA-200-A(active)> test nat-policy-match from trust to trust source 10.10.1.254 destination 10.10.1.100 protocol 1
Destination-NAT: Rule matched: NAT_Rule_01
10.10.1.100:0 => 10.11.1.254:0NAT セッションの確認コマンド
以下のコマンドで NAT セッションを表示できます。
show session all
admin@PA-200-A(active)> show session all
--------------------------------------------------------------------------------
ID Application State Type Flag Src[Sport]/Zone/Proto (translated IP[Port])
Vsys Dst[Dport]/Zone (translated IP[Port])
--------------------------------------------------------------------------------
85 ping ACTIVE FLOW ND 10.10.1.254[11]/trust/1 (10.10.1.254[11])
vsys1 10.10.1.100[3]/untrust (10.11.1.254[3])
82 ping ACTIVE FLOW ND 10.10.1.254[11]/trust/1 (10.10.1.254[11])
vsys1 10.10.1.100[0]/untrust (10.11.1.254[0])
83 ping ACTIVE FLOW ND 10.10.1.254[11]/trust/1 (10.10.1.254[11])
vsys1 10.10.1.100[1]/untrust (10.11.1.254[1])
86 ping ACTIVE FLOW ND 10.10.1.254[11]/trust/1 (10.10.1.254[11])
vsys1 10.10.1.100[4]/untrust (10.11.1.254[4])
84 ping ACTIVE FLOW ND 10.10.1.254[11]/trust/1 (10.10.1.254[11])
vsys1 10.10.1.100[2]/untrust (10.11.1.254[2])
コメント