OS5.2 宛先 NAT 設定手順書 Ver. 1.0 承認 確認 担当 2 0 1 5 年 0 5 月 3 1 日 株 式 会 社 ネ ッ ト ワ ー ル ド S I 技 術 本 部 イ ン フ ラ ソ リ ュ ー シ ョ ン 技 術 部 OS5.2 宛先 NAT 設定手順書 目次 1 2 3 改訂履歴 ...........................................................................................................................3 はじめに ............................................................................................................................4 バーチャル IP 設定.............................................................................................................6 3.1 バーチャル IP 設定 .....................................................................................................6 3.2 ファイアウォールポリシーの作成 .................................................................................7 4 動作確認 ...........................................................................................................................8 4.1 動作確認 ....................................................................................................................8 4.2 デバッグ確認 ..............................................................................................................8 Copyrightⓒ2015 Networld Corporation. All rights ¥ reserved. 2 OS5.2 宛先 NAT 設定手順書 1 改訂履歴 変更履歴 番号 変更年月日 1 2015/05/31 2 3 4 5 Version 1.0 Page status o 変更内容 新規作成 作成 NWL 承認 NWL status: a(dd), d(elete), r(eplace), o(ther) ■マニュアルの取り扱いについて ・ 本書の記載内容の一部または全部を無断で転載することを禁じます。 ・ 本書の記載内容は将来予告無く変更されることがあります。 ・ 本書を使用した結果発生した情報の消失等の損失については、責任を負いかねます。 ・ 本書の設定内容についてのお問い合わせは、受け付けておりませんのでご了承ください。 ・ 本書の記載内容は、動作を保証するものではございません。従いましてお客様への導入時には、 必ず事前に検証を実施してください。 ■Networldテクニカルサポート ・Tech-World Fortinet製品に関するソフトウェアサポート窓口 https://hds.networld.co.jp/helpdesk/support/login.jsp ・Fortinet FAQ Fortinet製品に関するよくある問い合わせ https://hds.networld.co.jp/helpdesk/support/faq_info.jsp?link_id=tec ■メーカサイト ・Fortinet テクニカルドキュメント http://docs.fortinet.com/fgt.html ・Fortinet Knowledge Base http://kb.fortinet.com/kb/microsites/microsite.do Copyrightⓒ2015 Networld Corporation. All rights ¥ reserved. 3 OS5.2 宛先 NAT 設定手順書 2 はじめに ■はじめに 本手順書は宛先 NAT の設定手順を説明しております。 インターフェースなどの初期設定につきましては、別紙 FAQ の『基本設定について』をご確認下さい。 URL: https://hds.networld.co.jp/faq/fortinet/00002526-1.pdf ■構成図 ■機器情報・ファームウェア FGT_A:FortiGate-VM00 FortiOS 5.2.3 PC_A:Windows 7 Professional PC_B:Windows 7 Professional ■設定内容説明 本手順書は、社内に設置したサーバを外部に公開する場合など、内部アドレスと外部アドレスを静的に対応付ける 1 対 1 の宛先 NAT の設定手順について説明しています。 ここでは、IP アドレス:10.0.0.10 にアクセスしてきたユーザの宛先アドレスを 192.168.1.10 に変換して、PC_B にアクセス できるよう設定を行います。 Copyrightⓒ2015 Networld Corporation. All rights ¥ reserved. 4 OS5.2 宛先 NAT 設定手順書 ■設定値一覧 ①インターフェース情報 項番 インタフェース名 1 port1 2 port2 アドレッシングモード IPアドレス サブネットマスク アクセス マニュアル 10.0.0.254 255.255.255.0 ping マニュアル 192.168.1.254 255.255.255.0 ping,https,ssh ②バーチャルIP情報 名前 項番 1 VIP-toPC_B インタフェース External IPアドレス/範囲 マップされたIPアドレス/範囲 port1 10.0.0.10 192.168.1.1 ③Firewallポリシー 項番 入力インターフェース名 送信元アドレス 送信元ユーザ 出力インターフェース名 出力アドレス スケジュール サービス アクション NAT 1 port2 all - port1 all always ALL ACCEPT 有効 2 port1 all - port2 all always ALL ACCEPT 無効 Copyrightⓒ2015 Networld Corporation. All rights ¥ reserved. 5 OS5.2 宛先 NAT 設定手順書 3 バーチャル IP 設定 本項目では、1 対 1 のアドレスを対応付けるためバーチャル IP の設定を行います。 3.1 バーチャル IP 設定 下記の手順でバーチャル IP を設定します。 GUI より、ポリシー&オブジェクト > オブジェクト > バーチャル IP にて設定します。 ① ② ③ ④ ⑤ ⑥ [Create New]をクリック。 名前:『VIP-toPC_B』 任意のプロファイル名を指定します。 インタフェース:port1 1 対 1NAT のアクセスを受け付ける I/F を指定します。 External IP アドレス/範囲:10.0.0.10 アクセスを受け付ける外部アドレスを指定します。 マップされた IP アドレス/範囲:192.168.1.1 マッピング先の IP アドレスを指定します。 [OK]をクリック。 ① ② ③ ④ ⑤ ② ③ ⑥ Copyrightⓒ2015 Networld Corporation. All rights ¥ reserved. 6 OS5.2 宛先 NAT 設定手順書 3.2 ファイアウォールポリシーの作成 GUI より、ポリシー>ポリシー>ポリシーにて、SSL-VPN 接続用のポリシーを作成します。 ① ② ③ ④ ⑤ ⑥ [Create New]をクリック。 [入力インターフェース]:port1 [送信元アドレス]:all [出力インターフェース]: [宛先サブネット]:VIP-toPC_B [サービス]:ALL [NAT 有効]:無効 ※送信元 NAT を行う場合は有効にします。 画面下部の[OK]をクリック。 ① ② ③ ④ ⑤ 以上で設定は終了です。 Copyrightⓒ2015 Networld Corporation. All rights ¥ reserved. 7 OS5.2 宛先 NAT 設定手順書 4 動作確認 設定したバーチャル IP により、宛先 NAT が動作しているか確認します。 動作確認 4.1 PC_A から 10.0.0.10 にアクセスし、PC_B に疎通が取れるか確認します。 デバッグ確認 4.2 CLI からデバッグを取得し、FortiGate で宛先 NAT しているか確認します。 【デバッグコマンド】 # diagnose debug enable :デバッグを有効にします。 # diagnose debug show console enable :コンソール上にデバッグ結果を表示します。 # diagnose debug flow filter addr [IP アドレス] :デバッグする IP アドレスを指定します。 # diagnose debug flow trace start 10 :取得する項目数を指定します。 FGVM010000037092 # diagnose debug enable FGVM010000037092 # diagnose debug flow show console enable show trace messages on console FGVM010000037092 # diagnose debug flow filter addr 10.0.0.1 FGVM010000037092 # diagnose debug flow trace start 10 FGVM010000037092 # id=20085 trace_id=47 func=print_pkt_detail ① line=4378 msg="vd-root received a packet(proto=1, 10.0.0.1:1->10.0.0.10:8) from port1. code=8, type=0, id=1, seq=105." id=20085 trace_id=47 func=init_ip_session_common line=4527 msg="allocate a new session-00016f42" id=20085 trace_id=47 func=fw_pre_route_handler line=174 msg="VIP-192.168.1.1:1, outdev-port1" ② id=20085 trace_id=47 func=__ip_session_run_tuple line=2537 msg="DNAT 10.0.0.10:8->192.168.1.1:1" ③ id=20085 trace_id=47 func=vf_ip4_route_input line=1596 msg="find a route: flags=00000000 gw-192.168.1.1 via ④ ⑤ port2" id=20085 trace_id=47 func=fw_forward_handler line=670 msg="Allowed by Policy-2:" それぞれの処理の内容は以下の通りです。 ① ② ③ ④ ⑤ port1 にて送信元 IP:10.0.0.1、宛先 IP:10.0.0.10 のパケットを受信しました。 port1 に設定した VIP 情報を参照し、 宛先アドレスを 10.0.0.10 から 192.168.1.1 に変更しています。 その後、192.168.1.1 の宛先インターフェースが port2 であることを確認し、 ポリシー情報を元にパケットを転送しています。 以上より正しく宛先 NAT されていることが確認できます。 Copyrightⓒ2015 Networld Corporation. All rights ¥ reserved. 8
© Copyright 2024 ExpyDoc
