Palo Alto ポートフォワーディング(ポート開放)の設定方法

ポリシー

動作確認環境

  • PA-200
    • Version 8.1.19

Palo Alto でポートフォワーディングを行う

ここでいうポートフォワーディング(ポート開放)とは、外部から特定の IP アドレスの特定ポート宛に通信があったときに、内部の特定の IP アドレスの特定ポート宛に宛先変換(NAPT)することを指しています。

ここでは以下の構成、通信を例に Palo Alto でのポートフォワーディング設定例を示します。

検証構成
  • Untrust ゾーンにいる PC-A から 10.10.1.1 (Palo Alto の Untrust ゾーンのインターフェース IP) の TCP/2323 宛に通信があった場合、DMZ ゾーンにいる PC-B の IP アドレス 10.11.1.100 の TCP/23(Telnet)にポートフォワーディング(宛先 NAPT)させます

ポートフォワーディングの設定例

ポートフォワーディングの設定手順は以下です。

  1. アドレスオブジェクトの設定
  2. サービスオブジェクトの設定
  3. NAT ルールの設定
  4. セキュリティポリシーの設定

※インターフェースの設定については記載を省略します

①アドレスオブジェクトの設定

NAT ルール及びセキュリティポリシーの設定をする際に使用するアドレスオブジェクトを設定します。

設定が必要なアドレスオブジェクトは以下の 2 つです。

  • 宛先変換前のアドレスである 10.10.1.1/32
  • 宛先変換後のアドレスである 10.11.1.100/32

それぞれ以下の内容でアドレスオブジェクトを作成します。

◆10.10.1.1/32 のアドレスオブジェクト

◆10.11.1.100/32 のアドレスオブジェクト

アドレスオブジェクトの作成方法について詳しくはこちらの記事を参照してください。

②サービスオブジェクトの設定

NAT ルールの設定をする際に使用するサービスオブジェクトを設定します。

設定が必要なサービスブジェクトは以下の 1 つです。

  • 宛先前宛先ポートである TCP/2323

以下の内容でサービスオブジェクトを作成します。

サービスオブジェクトの作成方法について詳しくはこちらの記事を参照してください。

③NAT ルールの設定

NAT ルールを追加するためには [Policies → NAT] 画面の [追加] をクリックします。

NAT ポリシールール設定画面が表示されるため、各項目を設定していきます。

[全般] タブでは以下の項目を設定します。

  • 名前: 任意の NAT ルール名を入力します
  • 内容: 説明文を設定したい場合は入力します
  • タグ: タグを設定したい場合のみタグを指定します
  • NAT タイプ: ipv4(デフォルト)を指定します

[元のパケット] タブでは以下の項目を設定します。

  • 送信元ゾーン: ポートフォワーディング対象通信の送信元ゾーンを指定します
    • 今回の設定例では Untrust ゾーンを設定します
  • 宛先ゾーン: ポートフォワーディング対象通信の宛先ゾーンを指定します
    • 変換前の宛先アドレスをもとに考えた宛先ゾーンを指定します
    • 今回の設定例では Untrust ゾーンを設定します
  • 宛先インターフェイス: ポートフォワーディング対象通信の宛先インターフェースを指定します
    • 変換前の宛先アドレスをもとに考えた宛先インターフェースを指定します
    • 特に指定が無い限りは any(デフォルト)で OK です
  • 送信元アドレス: ポートフォワーディング対象通信の送信元アドレスを指定します
  • 宛先アドレス: ポートフォワーディング対象通信の宛先アドレス(変換前アドレス)を指定します
    • 今回の設定例では 10.10.1.1/32 になります。あらかじめ作成しておいたアドレスオブジェクトを指定します

[変換済みパケット] タブでは以下の項目を設定します。

  • 送信元アドレスの変換: None(デフォルト)とします
  • 宛先アドレスの変換:
    • 変換タイプ: スタティック IP を指定します
    • 変換後アドレス: 変換後の宛先アドレスを指定します
      • 今回の設定例では 10.11.1.100/32 になります。あらかじめ作成しておいたアドレスオブジェクトを指定します
    • 変換済みポート: 変換後の宛先ポートを指定します
      • 今回の設定例では 23 になります

ちなみに CLI でこの NAT ルールを設定する場合以下のコマンドになります。

set rulebase nat rules NAT_Rule_01 destination-translation translated-port 23
set rulebase nat rules NAT_Rule_01 destination-translation translated-address Addr_10.11.1.100_32
set rulebase nat rules NAT_Rule_01 to Untrust
set rulebase nat rules NAT_Rule_01 from Untrust
set rulebase nat rules NAT_Rule_01 source any
set rulebase nat rules NAT_Rule_01 destination Addr_10.10.1.1_32
set rulebase nat rules NAT_Rule_01 service TCP_2323

④セキュリティポリシーの設定

ポートフォワーディング対象通信を許可するセキュリティポリシーを設定します。

検証構成

送信元はゾーンとしては送信元の端末がいる Untrust ゾーンを設定します。送信元アドレスは限定しないため「いずれか(any)」を設定します。

宛先 NAT を行う場合は宛先の設定に注意してください。宛先ゾーンには NAT 変換後の宛先アドレスに基いて導かれるゾーンを指定する必要があります。今回の設定例では DMZ ゾーンが該当します。一方で、宛先アドレスには NAT 変換前のアドレスを指定します。今回の例では 10.10.1.1/32 が該当します。

サービスの設定では変換前のサービスを指定します。今回の例では TCP/2323 が該当します。

アクションの設定では Allow(許可)を設定します。

ポートフォワーディングの動作確認

PC-A から 10.10.1.1 の TCP/2323 宛に Telnet をしてみます。

検証構成

router#telnet 10.10.1.1 2323
Trying 10.10.1.1, 2323 ... Open

User Access Verification

Username: admin
Password:
Router>

※検証では PC として Cisco ルータを使用しています

上記の通り 10.10.1.1 の TCP/2323 宛に Telnet をしてアクセスできることが確認できました。想定通りにポートフォワーディングされているといえます。

トラフィックログを見ても宛先アドレス及びポートが変換されていることが分かります。

NAT ルール一覧画面の対象ルールの [ルールの使用状況] 欄では当該 NAT ルールが適用されたかどうかを確認できます。

【全記事リスト】Palo Alto 設計構築用ナレッジまとめ
基礎知識 Palo Alto 初期アドレス、初期ユーザパスワード【管理アクセス用】 Palo Alto コンフィグの種類とコミットとは【基礎知識】 Palo Alto ホスト名とドメイン名の設定方法 Palo Alto 管理インターフェース...
palofw-lab.com
2023.02.11

コメント

Ads Blocker Image Powered by Code Help Pro

広告ブロッカーが検出されました

当ブログは広告ブロッカーを利用しての閲覧に対応していません。

閲覧するためにはブラウザの拡張機能で広告ブロッカーを無効化してください。

We have detected that you are using extensions to block ads. Please support us by disabling these ads blocker.

タイトルとURLをコピーしました