Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI8.2 を使用)
スタティック PAT の設定
スタティック PAT の設定
発行日;2012/02/05 | 英語版ドキュメント(2011/09/19 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 21MB) | フィードバック

目次

スタティック PAT の設定

スタティック PAT に関する情報

スタティック PAT のライセンス要件

スタティック PAT の前提条件

ガイドラインと制限事項

デフォルト設定

スタティック PAT の設定

ポリシー スタティック PAT の設定

標準スタティック PAT の設定

スタティック PAT の監視

スタティック PAT の設定例

ポリシー スタティック PAT の例

標準スタティック PAT の例

ポートのリダイレクトの例

スタティック PAT の機能履歴

スタティック PAT の設定

スタティック PAT 変換では、グローバル アドレスの特定の UDP ポートまたは TCP ポートを、ローカル アドレスの特定のポートに変換できます。つまり、アドレスとポート番号の両方が変換されます。この章では、スタティック PAT を設定する方法について説明します。次の項目を取り上げます。

「スタティック PAT に関する情報」

「スタティック PAT のライセンス要件」

「スタティック PAT の前提条件」

「ガイドラインと制限事項」

「デフォルト設定」

「スタティック PAT の設定」

「スタティック PAT の監視」

「スタティック PAT の設定例」

「スタティック PAT の機能履歴」

スタティック PAT に関する情報

スタティック PAT は、プロトコル(TCP または UDP)および実際のアドレスとマッピング アドレスのポートを指定できる点を除くと、スタティック NAT と同じです。スタティック PAT では、各文のポートが別個である限り、多数の異なるスタティック文にわたって同じマッピング アドレスを指定できます。複数のスタティック NAT 文に対しては、同じマッピング アドレスを使用できません。

図 30-1 に、一般的なスタティック PAT のシナリオを示します。この変換は常にアクティブであるため、変換済みのホストとリモート ホストの両方が接続を開始でき、マッピング アドレスとポートは static コマンドによってスタティックに割り当てられます。

図 30-1 一般的なスタティック PAT のシナリオ

 

セカンダリ チャネルのアプリケーション検査が必要なアプリケーション(FTP、VoIP など)を使用する場合は、適応型セキュリティ アプライアンスが自動的にセカンダリ ポートを変換します。

たとえば、FTP、HTTP、および SMTP にアクセスするリモート ユーザに 1 つのアドレスを提供する必要があるときに、これらが実際のネットワークでそれぞれ異なるサーバにある場合は、同じマッピング IP アドレスを使用しながら異なるポートを使用する各サーバに対してスタティック PAT 文を指定できます (図 30-2 を参照)。

図 30-2 スタティック PAT

 

この例について、次のコマンドを参照してください。

hostname(config)# static (inside,outside) tcp 209.165.201.3 ftp 10.1.2.27 ftp netmask 255.255.255.255
hostname(config)# static (inside,outside) tcp 209.165.201.3 http 10.1.2.28 http netmask 255.255.255.255
hostname(config)# static (inside,outside) tcp 209.165.201.3 smtp 10.1.2.29 smtp netmask 255.255.255.255
 

スタティック PAT を使用すると、予約済みポートから標準以外のポートへの変換や、その逆の変換も可能です。たとえば、内部 Web サーバがポート 8080 を使用する場合、ポート 80 に接続することを外部ユーザに許可し、その後、変換を元のポート 8080 に戻すことができます。同様に、セキュリティをさらに高めるには、Web ユーザに標準以外のポート 6785 に接続するように指示し、その後、変換をポート 80 に戻すことができます。

この項では、スタティック ポート変換を設定する方法について説明します。スタティック PAT を使用すると、実際の IP アドレスをマッピング IP アドレスに変換するとともに、実際のポートをマッピング ポートに変換できます。実際のポートを同じポートに変換することを選択できます。これにより、特定のタイプのトラフィックだけを変換できます。また、さらに別のポートに変換することもできます。

スタティック PAT のライセンス要件

 

モデル
ライセンス要件

すべてのモデル

基本ライセンス

スタティック PAT の前提条件

スタティック PAT には次の前提条件があります。

拡張アクセスリストを設定する必要があります。access-list extended コマンドを使用して、拡張アクセスリストを作成します (詳細については、「拡張アクセスリストの追加」を参照してください)。

拡張アクセスリストを使用して、実際のアドレスと宛先/送信元アドレスを指定します。 access-list extended コマンドを使用して、拡張アクセスリストを作成します (「拡張アクセスリストの追加」 を参照)。アクセスリストの最初のアドレスは実際のアドレスです。2 番目のアドレスは、送信元アドレスまたは宛先アドレスで、トラフィックの発信源によって異なります。たとえば、実際のアドレス 10.1.1.1 が 209.165.200.224 ネットワークにトラフィックを送信するときに、10.1.1.1 をマッピング アドレス 192.168.1.1 に変換する場合、 access-list コマンドと static コマンドは次のようになります。

hostname(config)# access-list TEST extended ip host 10.1.1.1 209.165.200.224 255.255.255.224
hostname(config)# static (inside,outside) 192.168.1.1 access-list TEST
 

この場合、2 番目のアドレスは宛先アドレスです。ただし、マッピング アドレスに接続を開始するために、ホストで同じコンフィギュレーションが使用されます。たとえば、209.165.200.224/27 ネットワークのホストが 192.168.1.1 に接続を開始するときは、アクセスリストの 2 番目のアドレスが送信元アドレスになります。

このアクセスリストには、 許可 ACE だけを含めます。 eq 演算子を使用して、アクセスリストに実際のポートおよび宛先ポートをオプションで指定できます。ポリシー NAT は、 inactive および time-range キーワードを考慮しません。すべての ACE が、ポリシー NAT コンフィギュレーションに対してアクティブであると見なされます。詳細については、「ポリシー NAT」を参照してください。

変換にネットワークを指定すると(10.1.1.0 255.255.255.0 など)、適応型セキュリティ アプライアンスは、.0 および .255 のアドレスを変換します。これらのアドレスへのアクセスを禁止するには、アクセスを拒否するようにアクセスリストを設定します。その他のオプションについては、「ダイナミック NAT および PAT の設定」を参照してください。

ガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

「コンテキスト モードのガイドライン」

「ファイアウォール モードのガイドライン」

「その他のガイドラインと制限事項」

コンテキスト モードのガイドライン

シングルコンテキスト モードとマルチコンテキスト モードでサポートされています。

ファイアウォール モードのガイドライン

ルーテッド ファイアウォール モードと透過ファイアウォール モードでだけサポートされています。

その他のガイドラインと制限事項

スタティック PAT 機能には、次のガイドラインと制限事項が適用されます。

スタティック変換は、単一ホストに、または IP サブネットに含まれるすべてのアドレスに定義できます。

static コマンドで、同じマッピング インターフェイスの global コマンドでも定義されているマッピング アドレスを使用しないでください。

static コマンドを削除した場合、変換を使用している既存の接続は影響を受けません。これらの接続を削除するには、 clear local-host コマンドを入力します。

clear xlate コマンドで変換テーブルからスタティック変換を消去することはできません。 static コマンドを削除する必要があります。 clear xlate コマンドでは、 nat コマンドおよび global コマンドで作成したダイナミック変換だけを削除できます。

FTP でスタティック PAT を設定する場合、TCP ポート 20 と 21 の両方にエントリを追加する必要があります。FTP トラフィック上で NAT を実行する他のデバイスを妨げる可能性があるため、ポート 20 を指定して、アクティブな転送の送信元ポートが他のポートに変更されないようにする必要があります。

デフォルト設定

表 30-1 に、スタティック PAT パラメータのデフォルト設定を示します。

 

表 30-1 スタティック PAT のデフォルト パラメータ

パラメータ
デフォルト
emb_limit

 

デフォルト値は 0 (無制限)で、使用可能な最大値となります。

tcp_max_cons

デフォルト値は 0 (無制限)で、使用可能な最大値となります。

udp_max_cons

デフォルト値は 0 (無制限)で、使用可能な最大値となります。

スタティック PAT の設定

この項では、スタティック ポート変換を設定する方法について説明します。次の項目を取り上げます。

「ポリシー スタティック PAT の設定」

「標準スタティック PAT の設定」

ポリシー スタティック PAT の設定

ポリシー スタティック PAT では、ルートマップを参照して、スタティック変換を開始する特定の条件やポリシーを指定できます。

スタティック PAT を設定するには、次のコマンドを入力します。

 

コマンド
目的
static ( real_interface , mapped_interface ) { tcp | udp } { mapped_ip | interface } mapped_port access-list acl_name [ dns ] [ norandomseq ] [[ tcp ] tcp_max_conns [ emb_limit ]] [ udp udp_max_conns ]
 
Example :
hostname(config)# static (inside,outside) tcp 10.1.2.14 telnet access-list TELNET
 
 

ルートマップを設定して、スタティック変換を開始するポリシーを指定します。

real_interface 引数には、実際の IP アドレス ネットワークに接続するインターフェイスの名前を指定し、 mapped_interface 引数には、マッピング IP アドレス ネットワークに接続するインターフェイスの名前を指定します。

tcp または udp のいずれかでプロトコルを指定します。

mapped_ip 引数には、実際のアドレスから変換するアドレス(マッピング IP アドレス ネットワークに接続するインターフェイス)を指定します。

interface キーワードは、インターフェイスの IP アドレスをマッピング アドレスとして使用します。このキーワードは、インターフェイスのアドレスを使用するときに、そのアドレスが DHCP を使用してダイナミックに割り当てられている場合に使用します。インターフェイスの IP アドレスをスタティック PAT エントリに含めるときは、実際の IP アドレスを指定する代わりに、interface キーワードを使用する必要があります。

mapped_port には、マッピングされた TCP ポートまたは UDP ポートを指定します。ポートは、リテラル名、または 0 ~ 65535 の数字で指定できます。有効なポート番号については、次の Web サイトで確認できます。http://www.iana.org/assignments/port-numbers

access-list キーワードと acl_id 引数は、拡張アクセスリストを使用して、実際のアドレスと宛先/送信元アドレスを特定します。 access-list extended コマンドを使用して、拡張アクセスリストを作成します (詳細については、「拡張アクセスリストの追加」を参照してください)。このアクセスリストには、 許可 ACE だけを含めます。アクセスリストの送信元アドレスが、このコマンドの real_ip と一致することを確認します。

オプションの dns キーワードは、この static コマンドに一致する DNS 応答の A レコードまたはアドレス レコードをリライトします。マッピング インターフェイスから他のインターフェイスに移動する DNS 応答では、A レコードはマップされた値から実際の値へリライトされます。逆に、任意のインターフェイスからマッピング インターフェイスに移動する DNS 応答では、A レコードは実際の値からマップされた値へリライトされます。この機能をサポートするために、DNS 検査をイネーブルにする必要があります。

オプションの norandomseq キーワードは、TCP ISN ランダム化の保護をディセーブルにします。

オプションの tcp tcp_max_conns キーワードと引数には、ローカル ホストで許可された同時 TCP 接続の最大数を指定します。デフォルト値は 0 です。これは、接続が無制限であることを示します。

オプションの emb_limit 引数には、ホストごとの初期接続の最大数を指定します。デフォルト値は 0 です。これは、初期接続が無制限であることを示します。

オプションの udp udp_max_conns キーワードと引数には、ローカル ホストで許可された同時 UDP 接続の最大数を指定します。デフォルト値は 0 です。これは、接続が無制限であることを示します。

(コマンド オプションの詳細については、『 Cisco Security Appliance Command Reference 』を参照してください。)

標準スタティック PAT の設定

スタティック PAT 変換では、グローバル アドレスの特定の UDP ポートまたは TCP ポートを、ローカル アドレスの特定のポートに変換できます。

標準スタティック PAT を設定するには、次のコマンドを入力します。

 

コマンド
目的
static ( real_interface , mapped_interface ) { tcp | udp } { mapped_ip | interface } mapped_port real_ip real_port [ netmask mask ] [ dns ] [ norandomseq ] [[ tcp ] tcp_max_conns [ emb_limit ]] [ udp udp_max_conns ]
 
:
hostname(config)# static (inside,outside) tcp 10.1.2.14 telnet 10.1.1.15 telnet netmask 255.255.255.255
 

スタティック PAT を設定します。

real_interface 引数には、実際の IP アドレス ネットワークに接続するインターフェイスの名前を指定し、 mapped_interface 引数には、マッピング IP アドレス ネットワークに接続するインターフェイスの名前を指定します。

tcp または udp のいずれかでプロトコルを指定します。

mapped_ip 引数には、実際のアドレスから変換するアドレス(マッピング IP アドレス ネットワークに接続するインターフェイス)を指定します。

interface キーワードは、インターフェイスの IP アドレスをマッピング アドレスとして使用します。このキーワードは、インターフェイスのアドレスを使用するときに、そのアドレスが DHCP を使用してダイナミックに割り当てられている場合に使用します。インターフェイスの IP アドレスをスタティック PAT エントリに含めるときは、実際の IP アドレスを指定する代わりに、interface キーワードを使用する必要があります。

mapped_port real_port 引数には、マッピングされた、および実際の、TCP ポートまたは UDP ポートを指定します。ポートは、リテラル名、または 0 ~ 65535 の数字で指定できます。有効なポート番号については、次の Web サイトで確認できます。http://www.iana.org/assignments/port-numbers

netmask mask オプションには、実際のアドレスとマッピング アドレスのサブネット マスクを指定します。単一ホストでは、255.255.255.255 を使用します。マスクを入力しない場合、1 つの例外を除き、IP アドレス クラスのデフォルトのマスクが使用されます。マスキング後のホストビットがゼロ以外の場合、255.255.255.255 のホスト マスクが使用されます。real_ip の代わりに access-list キーワードを使用すると、アクセスリストで使用されるサブネット マスクも mapped_ip で使用されます。

dns オプションは、この static コマンドに一致する DNS 応答の A レコードまたはアドレス レコードをリライトします。マッピング インターフェイスから他のインターフェイスに移動する DNS 応答では、A レコードはマップされた値から実際の値へリライトされます。逆に、任意のインターフェイスからマッピング インターフェイスに移動する DNS 応答では、A レコードは実際の値からマップされた値へリライトされます。この機能をサポートするために、DNS 検査をイネーブルにする必要があります。

norandomseq オプションは、TCP ISN ランダム化の保護をディセーブルにします。

tcp tcp_max_conns オプションには、ローカル ホストで許可された同時 TCP 接続の最大数を指定します。デフォルト値は 0 です。これは、接続が無制限であることを示します。

emb_limit オプションには、ホストごとの初期接続の最大数を指定します。デフォルト値は 0 です。これは、初期接続が無制限であることを示します。

udp udp_max_conns オプションには、ローカル ホストで許可された同時 UDP 接続の最大数を指定します。デフォルト値は 0 です。これは、接続が無制限であることを示します。

(コマンド オプションの詳細については、『 Cisco Security Appliance Command Reference 』を参照してください。)

スタティック PAT の監視

スタティック PAT を監視するには、次のコマンドを入力します。

 

コマンド
目的
show running-config static

コンフィギュレーションですべての static コマンドを表示します。

スタティック PAT の設定例

この項では、ポリシー スタティック PAT と標準スタティック PAT の設定例を示します。次の項目を取り上げます。

「ポリシー スタティック PAT の例」

「標準スタティック PAT の例」

「ポートのリダイレクトの例」

ポリシー スタティック PAT の例

10.1.3.0 ネットワークのホストから開始された、適応型セキュリティ アプライアンス外部インターフェイス(10.1.2.14)に向かう Telnet トラフィックを、内部ホスト 10.1.1.15 にリダイレクトできます。これには、次のコマンドを入力します。

hostname(config)# access-list TELNET permit tcp host 10.1.1.15 eq telnet 10.1.3.0 255.255.255.0
hostname(config)# static (inside,outside) tcp 10.1.2.14 telnet access-list TELNET
 

10.1.3.0 ネットワークのホストから開始された、適応型セキュリティ アプライアンス外部インターフェイス(10.1.2.14)に向かう HTTP トラフィックを、内部ホスト 10.1.1.15 にリダイレクトできます。これには、次のコマンドを入力します。

hostname(config)# access-list HTTP permit tcp host 10.1.1.15 eq http 10.1.3.0 255.255.255.0
hostname(config)# static (inside,outside) tcp 10.1.2.14 http access-list HTTP
 

標準スタティック PAT の例

Telnet トラフィックを適応型セキュリティ アプライアンス外部インターフェイス(10.1.2.14)から内部ホスト 10.1.1.15 にリダイレクトするには、次のコマンドを入力します。

hostname(config)# static (inside,outside) tcp 10.1.2.14 telnet 10.1.1.15 telnet netmask 255.255.255.255
 

ただし、上記の実際の Telnet サーバが接続を開始することを許可する場合は、変換を追加で指定する必要があります。たとえば、その他のタイプのトラフィックをすべて変換するには、次のコマンドを入力します。元の static コマンドでは、サーバに Telnet 用の変換が指定され、 nat コマンドおよび global コマンドでは、サーバからの発信接続用の PAT が指定されます。

hostname(config)# static (inside,outside) tcp 10.1.2.14 telnet 10.1.1.15 telnet netmask 255.255.255.255
hostname(config)# nat (inside) 1 10.1.1.15 255.255.255.255
hostname(config)# global (outside) 1 10.1.2.14
 

すべての内部トラフィック用の別個の変換も設定していて、内部ホストが Telnet サーバと異なるマッピング アドレスを使用する場合でも、サーバへの Telnet トラフィックを許可する static 文と同じマッピング アドレスが使用されるように、Telnet サーバから開始されるトラフィックを設定できます。Telnet サーバ専用に、より限定的な nat 文を作成する必要があります。 nat 文の読み取りでは、最も適合するものが求められるため、より限定的な nat 文が一般的な文より先に一致します。次の例は、Telnet サーバから開始されたトラフィック用のより限定的な nat 文である Telnet static 文を示しています。また、その他の内部ホスト用の文も示しています。後者の文では、異なるマッピング アドレスが使用されています。

hostname(config)# static (inside,outside) tcp 10.1.2.14 telnet 10.1.1.15 telnet netmask 255.255.255.255
hostname(config)# nat (inside) 1 10.1.1.15 255.255.255.255
hostname(config)# global (outside) 1 10.1.2.14
hostname(config)# nat (inside) 2 10.1.1.0 255.255.255.0
hostname(config)# global (outside) 2 10.1.2.78
 

予約済みポート(80)を別のポート(8080)に変換するには、次のコマンドを入力します。

hostname(config)# static (inside,outside) tcp 10.1.2.45 80 10.1.1.16 8080 netmask 255.255.255.255
 

ポートのリダイレクトの例

図 30-3 に、ポート リダイレクション機能が効果的であるネットワーク設定の例を示します。

図 30-3 スタティック PAT を使用するポート リダイレクション

 

この項で説明する構成では、ポート リダイレクションは、次のように外部ネットワーク上のホストに対して実行されます。

IP アドレス 209.165.201.5 に対する Telnet 要求が、10.1.1.6 にリダイレクトされる。

IP アドレス 209.165.201.5 に対する FTP 要求が、10.1.1.3 にリダイレクトされる。

適応型セキュリティ アプライアンスの外部 IP アドレス 209.165.201.25 に対する HTTP 要求が、10.1.1.5 にリダイレクトされる。

PAT アドレス 209.165.201.15 に対する HTTP ポート 8080 の要求が、10.1.1.7 ポート 80 にリダイレクトされる。

このコンフィギュレーションを実装するには、次の手順を実行します。


ステップ 1 次のコマンドを入力して、内部ネットワークに対して PAT を設定します。

hostname(config)# nat (inside) 1 0.0.0.0 0.0.0.0 0 0
hostname(config)# global (outside) 1 209.165.201.15
 

ステップ 2 次のコマンドを入力して、209.165.201.5 に対する Telnet 要求を 10.1.1.6 にリダイレクトします。

hostname(config)# static (inside,outside) tcp 209.165.201.5 telnet 10.1.1.6 telnet netmask 255.255.255.255
 

ステップ 3 次のコマンドを入力して、IP アドレス 209.165.201.5 に対する FTP 要求を 10.1.1.3 にリダイレクトします。

hostname(config)# static (inside,outside) tcp 209.165.201.5 ftp 10.1.1.3 ftp netmask 255.255.255.255
 

ステップ 4 次のコマンドを入力して、適応型セキュリティ アプライアンス外部インターフェイス アドレスに対する HTTP 要求を 10.1.1.5 にリダイレクトします。

hostname(config)# static (inside,outside) tcp interface www 10.1.1.5 www netmask 255.255.255.255
 

ステップ 5 次のコマンドを入力して、PAT アドレス 209.165.201.15 に対するポート 8080 での HTTP 要求を 10.1.1.7 ポート 80 にリダイレクトします。

hostname(config)# static (inside,outside) tcp 209.165.201.15 8080 10.1.1.7 www netmask 255.255.255.255
 


 

スタティック PAT の機能履歴

表 30-2 に、この機能のリリース履歴の一覧を示します。

 

表 30-2 スタティック PAT の機能履歴

機能名
リリース
機能情報

スタティック PAT

7.0

スタティック PAT 変換では、グローバル アドレスの特定の UDP ポートまたは TCP ポートを、ローカル アドレスの特定のポートに変換できます。

この機能が導入されました。

NAT とスタティック NAT

7.3.(1)

NAT は、透過ファイアウォール モードでサポートされています。