Cisco Security Manager 4.0 ユーザ ガイド
ネットワーク アドレス変換の設定
ネットワーク アドレス変換の設定
発行日;2012/02/06 | 英語版ドキュメント(2010/06/21 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 15MB) | フィードバック

目次

ネットワーク アドレス変換の設定

ネットワーク アドレス変換について

アドレス変換のタイプ

ASA 8.3+ デバイスでの「簡易」NAT について

Cisco IOS ルータにおける NAT ポリシー

[NAT] ページ - [Interface Specification]

[NAT] ページ - [Static Rules]

[Add NAT Static Rule]/[Edit NAT Static Rule] ダイアログボックス

[NAT] ページ - [Dynamic Rules]

[Add NAT Dynamic Rule]/[Edit NAT Dynamic Rule] ダイアログボックス

[NAT] ページ - [Timeouts]

セキュリティ デバイスの NAT ポリシー

トランスペアレント モードの NAT

[Translation Options] ページ

PIX、FWSM、および 8.3 よりも前の ASA デバイスでの NAT の設定

[Address Pools]

[Translation Rules]:PIX、FWSM、および 8.3 よりも前の ASA

[Translation Exemptions (NAT 0 ACL)]

[Dynamic Rules] タブ

[Policy Dynamic Rules] タブ

[Static Rules] タブ

[General] タブ

ASA 8.3+ デバイスでの NAT の設定

[Translation Rules]:ASA 8.3+

ネットワーク アドレス変換の設定

ここでは、Network Address Translation(NAT; ネットワーク アドレス変換)に関する一般的な概念と、変換タイプおよびさまざまな実装について説明します。

「ネットワーク アドレス変換について」

「アドレス変換のタイプ」

「ASA 8.3+ デバイスでの「簡易」NAT について」

次の項では、さまざまなシスコ デバイスでの NAT 規則の設定および管理について説明します。

Cisco IOS ルータ

「Cisco IOS ルータにおける NAT ポリシー」

「[NAT] ページ - [Interface Specification]」

「[NAT] ページ - [Static Rules]」

「[NAT] ページ - [Dynamic Rules]」

「[NAT] ページ - [Timeouts]」

PIX、FWSM、および ASA セキュリティ デバイス

「セキュリティ デバイスの NAT ポリシー」

「トランスペアレント モードの NAT」

「[Translation Options] ページ」

PIX、FWSM、および 8.3 よりも前の ASA デバイス

「PIX、FWSM、および 8.3 よりも前の ASA デバイスでの NAT の設定」

「[Address Pools]」

「[Translation Rules]:PIX、FWSM、および 8.3 よりも前の ASA」

ASA 8.3+ デバイス

「ASA 8.3+ デバイスでの NAT の設定」

「[Translation Rules]:ASA 8.3+」

「[Add NAT Rule]/[Edit NAT Rule] ダイアログボックス」

「[Add Network/Host]/[Edit Network/Host] ダイアログボックス - [NAT] タブ」

ネットワーク アドレス変換について

アドレス変換は、パケット内の実際のアドレスを、宛先ネットワーク上でルーティング可能な、マッピングされたアドレスで置き換えます。また、プロセスの一環として、デバイスにより変換データベースにその置換が記録されます。これらのレコードは、「xlate」エントリと呼ばれます。リターン パケット上でのアドレス変換(マッピングされたアドレスを元の実際のアドレスに置き換えること)を可能にするには、適切な xlate エントリが存在している必要があります。この手順は「逆変換」と呼ばれることがあります。このように、Network Address Translation(NAT; ネットワーク アドレス変換)は、事実上、実際のアドレスからマッピングされたアドレスへの変換と、リターン トラフィック用の逆の変換の 2 つの手順で構成されます。

NAT の主な機能の 1 つは、プライベート IP ネットワークをインターネットに接続できるようにすることです。ネットワーク アドレス変換により、プライベート IP アドレスはパブリック IP アドレスに置き換えられます。つまり、内部ネットワーク内のプライベート アドレスが、パブリックなインターネットで使用できる合法的なルーティング可能アドレスに変換されます。このようにして、NAT はパブリック アドレスを保護します。たとえば、ネットワーク全体で 1 つのパブリック アドレスだけを外部との通信に使用するように NAT 規則を設定できます。

NAT のその他の機能は、次のとおりです。

セキュリティ:内部 IP アドレスを隠蔽することで、直接攻撃を阻止します。

IP ルーティング ソリューション:重複する IP アドレスの問題がなくなります。

柔軟性:外部で使用可能なパブリック アドレスに影響を与えずに、内部 IP アドレッシング方式を変更できます。たとえば、インターネットにアクセス可能なサーバでは、インターネット用に固定の IP アドレスを保持できますが、内部的には、サーバ アドレスを変更できます。

シスコ デバイスでは、NAT(アウトバウンドの各ホスト セッションに、グローバルに一意のアドレスを提供する)と Port Address Translation(PAT; ポート アドレス変換)(一意のポート番号を組み合わせた単一の同じアドレスを提供する)の両方を、最大で 64,000 個のアウトバウンドまたはインバウンドの同時ホスト セッションに対してサポートしています。NAT で使用するグローバル アドレスは、アドレス変換用に特別に指定したアドレス プールから取得されます。PAT で使用する一意のグローバル アドレスには、1 つのグローバル アドレスまたは指定されたインターフェイスの IP アドレスのいずれかを指定できます。

デバイスは、既存の NAT 規則が特定のトラフィックと一致した場合にアドレスを変換します。NAT 規則が一致しなかった場合、パケットの処理が続行されます。ただし、NAT 制御をイネーブルにしている場合は例外です。NAT 制御では、よりセキュリティの高いインターフェイス(内部)からよりセキュリティの低いインターフェイス(外部)へのパケット通過は NAT 規則に一致している必要があります。一致していない場合、パケットの処理は停止します。

シスコ デバイスは、インバウンドとアウトバウンドの両方の接続で、NAT または PAT を実行できます。インバウンド アドレスを変換するこの機能は、外部の、つまりセキュリティの高くないインターフェイス上のアドレスが、使用可能な内部 IP アドレスに変換されるため、「外部 NAT」と呼ばれます。アウトバウンド トラフィックを変換する場合と同様に、ダイナミック NAT、スタティック NAT、ダイナミック PAT、またはスタティック PAT を選択できます。必要に応じて、内部 NAT とともに外部 NAT を使用して、パケットの送信元 IP アドレスおよび宛先 IP アドレスの両方を変換できます。


) このマニュアルでは、すべての変換タイプを一般的に NAT と呼びます。それぞれのタイプの詳細については、「アドレス変換のタイプ」を参照してください。NAT を説明する場合、内部および外部という用語は 2 つのインターフェイス間のセキュリティ関係を表します。セキュリティ レベルの高い方が内部で、セキュリティ レベルの低い方が外部になります。


以前の ASA バージョンおよび他のデバイスと比較すると、ASA バージョン 8.3 のリリースでは、ネットワーク アドレス変換を設定する、インターフェイスに依存しない簡単なアプローチが提供されています。詳細については、「ASA 8.3+ デバイスでの「簡易」NAT について」を参照してください。

関連項目

「アドレス変換のタイプ」

「ASA 8.3+ デバイスでの「簡易」NAT について」

アドレス変換のタイプ

次の表に、アドレス変換のさまざまなタイプについての簡単な説明を示します。

 

表 20-1 アドレス変換のタイプ

スタティック NAT

実際の送信元アドレスから特定のマッピングされたアドレスへの固定変換。個々の送信元アドレスは、IP プロトコルおよびポート番号に関係なく、常にマッピングされた同じアドレスに変換されます。

スタティック PAT

特定の TCP または UDP ポート番号を含む実際の送信元アドレスから特定のマッピングされたアドレスおよびポートへの固定変換。つまり、個々の送信元アドレス/ポートは、常にマッピングされた同じアドレス/ポートに変換されます。

ポリシー スタティック NAT

実際の送信元アドレスから特定のマッピングされたアドレスへの固定変換。宛先ネットワーク/ホストも指定しますが、サービスは常に IP です。

ポリシー スタティック PAT

特定の TCP または UDP ポート番号を含む実際の送信元アドレスから特定のマッピングされたアドレスおよびポートへの固定変換。宛先ネットワーク/ホストおよびサービスも指定します。

ダイナミック NAT

実際の送信元アドレスから、共有アドレス プールから取得されるマッピングされたアドレスへのダイナミック変換。個々の送信元アドレスを、プール内の使用可能な任意のアドレスにマッピングできます。

ダイナミック PAT

実際の送信元アドレスから単一のマッピングされたアドレスへの変換。関連するポート番号のダイナミック変換によって、単一性が実現されます。つまり、個々の実際のアドレス/ポートの組み合わせは、マッピングされた同じアドレスに変換されますが、一意のポートに割り当てられます。これは、「オーバーロード」と呼ばれることがあります。

ポリシー ダイナミック NAT

共有アドレス プールを使用する、指定したインターフェイス上の特定の送信元アドレス/宛先アドレス/サービスの組み合わせのダイナミック変換。変換の方向(アウトバウンドまたはインバウンド)も指定します。

アイデンティティ NAT

指定したアドレスがそれ自身に変換されます。つまり、事実上、変換されません。アウトバウンド接続だけに適用されます。

NAT 免除

指定した送信元/宛先アドレスの組み合わせに対して変換がバイパスされます。接続は、アウトバウンド方向とインバウンド方向の両方で開始できます。


) これらのタイプの一部は ASA 8.3 以降のデバイスに適用されませんが、ASA 8.3+ デバイスではダイナミック NAT と PAT のオプションが提供されます。これは、ダイナミック PAT のバックアップ機能を伴うダイナミック NAT です。


ASA 8.3+ デバイスでの「簡易」NAT について

以前の ASA バージョンおよび他のデバイスと比較すると、ASA バージョン 8.3 のリリースでは、Network Address Translation(NAT; ネットワーク アドレス変換)を設定する簡単なアプローチが提供されています。NAT の設定は、以前のフローベース方式を、「元のパケット」から「変換後のパケット」へのアプローチで置き換えることによって簡素化されています。

デバイス上のすべての NAT 規則(スタティック NAT、ダイナミック PAT、およびダイナミック NAT)が単一のテーブルに示され、基本的にすべての NAT 規則の設定に同じダイアログボックスが使用されます。NAT 規則はインターフェイスに依存せず(つまり、インターフェイスは任意)、このことは、セキュリティ レベルにも依存しないということを意味します。

NAT 規則は、セキュリティ レベルに依存しなくなりました。すべてのインターフェイスからなるグローバル アドレス空間が使用可能であり、キーワード「any」で指定されます。すべての [Interface] フィールドがデフォルトで any に設定されるため、特定のインターフェイスを指定しないかぎり、規則はすべてのインターフェイスに適用可能になります。

ネットワーク オブジェクト NAT

対応する NAT 規則が指定したセキュリティ デバイスに自動的に適用されるように、ホスト、アドレス範囲、およびネットワーク オブジェクトに NAT プロパティを定義することもできます。これらのオブジェクトを使用するということは、必要な IP アドレス、サービス、ポート、および任意のインターフェイスを 1 度だけ入力すればよいということを意味します。自動的に生成されるこれらのオブジェクトベースの規則は、「ネットワーク オブジェクト NAT」規則と呼ばれます。これらの規則は規則テーブルからは編集できないことに注意してください。Policy Object Manager で適切なオブジェクトを編集する必要があります。

NAT テーブル

前述のとおり、デバイス上のすべての NAT 規則が単一のテーブルで示されます。このテーブルは、「手動」セクション、ネットワーク オブジェクト NAT 規則セクション、およびもう 1 つの手動規則セクションの 3 つのセクションに分かれています。両方の手動セクションで規則を追加、編集、および順序付けできます。ネットワーク オブジェクト NAT 規則は自動的に追加および順序付けされます。前述のとおり、これらの規則を編集するには、関連するオブジェクトを編集する必要があります。

テーブル内の NAT 規則はトップダウン方式で最初に一致した規則から順に適用されます。つまり、パケットは、NAT 規則に一致した場合にだけ変換され、一致するとすぐに、その位置またはセクションに関係なく、NAT 規則の処理が停止します。

このテーブルを使用して、手動規則の整理および管理を行うことができます。つまり、任意の順序で規則を挿入したり、規則を再順序付けしたりできます。手動規則の 2 つのセクションにより、自動オブジェクト規則の前と後の両方に手動規則を配置できます。

ネットワーク オブジェクト NAT 規則は、スタティック規則がダイナミック規則の前にくるように、自動的に配置されます。これらの 2 つのタイプは、それぞれさらに次のように順序付けされます。

IP アドレスの数が最も少ない規則:1 つの IP アドレスを持つオブジェクトの規則のあとに、2 つのアドレスを持つオブジェクトの規則が表示され、そのあとに 3 つのアドレスを持つオブジェクトの規則が表示されるというように続きます。

IP アドレス番号:同じ数の IP アドレスを持つオブジェクトについては、IP アドレス自体が番号順(昇順)になるように整列されます。たとえば、10.1.1.1 の規則のあとに 11.1.1.1 の規則が表示されます。

オブジェクト名:IP アドレスが等しい場合は、オブジェクト名のアルファベット順に規則が順序付けされます。

また、変換は最初に一致した規則に基づくことに注意してください。

宛先変換

手動のスタティック規則では、送信元アドレス変換に加えて、宛先アドレス変換も設定できます。送信元変換と宛先変換は、同じダイアログボックスで同時に定義できます。さらに、送信元変換にはスタティックまたはダイナミックを指定できますが、宛先変換は常にスタティックであり、手動規則でだけ使用できます。

双方向または Twice NAT

手動のスタティック規則を作成するときに、[Bi-directional] オプションを選択できます。このオプションでは、実際には 2 つのスタティック NAT 規則(両方向の変換を含む)を示す 1 つのエントリが規則テーブル内に作成されます。つまり、指定した送信元/変換後のアドレスのペアに対してスタティック規則が作成されるとともに、変換後のアドレス/送信元のペアに対して、逆の規則が作成されます。

たとえば、[Source] フィールドが [Host1] で [Translated] フィールドが [Host2] のスタティック規則を作成するときに [Bi-directional] を選択した場合、規則テーブルに 2 つの行が追加されます。1 つは Host1 を Host2 に変換する行、もう 1 つは Host2 を Host1 に変換する行です。

この変換は、実際には 2 つの規則を取得および処理するために必要なルックアップが 1 つだけで済むため、「Twice NAT」と呼ばれることがあります。

多対 1 のアドレッシング

一般に、スタティック NAT 規則は、1 対 1 のアドレス マッピングを使用して設定されますが、多数の IP アドレスを少数または 1 つの IP アドレスにマッピングするスタティック NAT 規則を定義できるようになりました。機能的には、多対少数のマッピングは多対 1 のマッピングと同じですが、設定がより複雑になるため、必要に応じてアドレスごとに多対 1 の規則を作成することを推奨します。

多対 1 のアドレッシングは、たとえば、要求を内部ネットワークにリダイレクトするロード バランサにアクセスするためにパブリック IP アドレスの範囲を使用する場合などに役立つことがあります。

関連項目

「ASA 8.3+ デバイスでの NAT の設定」

「[Add NAT Rule]/[Edit NAT Rule] ダイアログボックス」

「[Add Network/Host]/[Edit Network/Host] ダイアログボックス - [NAT] タブ」

Cisco IOS ルータにおける NAT ポリシー

[NAT] ポリシー ページの次のタブから Cisco IOS ルータ上の NAT ポリシーを設定できます。

「[NAT] ページ - [Interface Specification]」

「[NAT] ページ - [Static Rules]」

「[NAT] ページ - [Dynamic Rules]」

「[NAT] ページ - [Timeouts]」

Network Address Translation(NAT; ネットワーク アドレス変換)はプライベートな内部 LAN アドレスをグローバルにルーティング可能な IP アドレスに変換します。NAT を使用すると、少ない数のパブリック IP アドレスで多数のホストにグローバル接続を提供できます。

詳細については、「ネットワーク アドレス変換について」を参照してください。

ナビゲーション パス

(デバイス ビュー)ポリシー セレクタから [NAT] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [NAT (Router)] を選択します。共有ポリシー セレクタから既存のポリシーを選択するか、または新しいポリシーを作成します。

[NAT] ページ - [Interface Specification]

NAT 規則を作成する前に、内部および外部インターフェイスを指定して、変換されるトラフィックの「方向」を定義する必要があります。内部インターフェイスは、通常、ルータが提供する LAN に接続されます。外部インターフェイスは、通常、組織の WAN またはインターネットに接続されます。少なくとも内部インターフェイスおよび外部インターフェイスを 1 つずつ指定して、ルータがネットワーク アドレス変換を実行できるようにする必要があります。

内部および外部の指定は、変換規則を解釈するときに使用されます。つまり、内部インターフェイスに接続されたアドレスが、外部インターフェイス上のアドレスに変換されます。これらのインターフェイスの定義が完了したあと、これらをすべてのスタティックおよびダイナミック NAT 変換規則に使用します。

[NAT] ポリシー ページの [Interface Specification] タブを使用して、内部および外部インターフェイスを指定します。

ナビゲーション パス

(デバイス ビュー)ポリシー セレクタから [NAT] を選択し、次に [Interface Specification] タブをクリックします。

(ポリシー ビュー)ポリシー タイプ セレクタから [NAT (Router)] > [Translation Rules] を選択します。既存のポリシーを選択するか新しいポリシーを作成し、[Interfaces Specification] タブをクリックします。

内部インターフェイスと外部インターフェイスの定義

[NAT Inside Interfaces] および [NAT Outside Interfaces] フィールドに、内部および外部インターフェイスのインターフェイス名またはインターフェイス ロールをそれぞれ入力するか、または選択します。複数の名前またはロールは、カンマで区切ります(Ethernet1/1, Ethernet1/2 など)。両方のフィールドに同じ名前は入力できないことに注意してください。

関連項目

「Cisco IOS ルータにおける NAT ポリシー」

「[NAT] ページ - [Static Rules]」

「[NAT] ページ - [Dynamic Rules]」

「[NAT] ページ - [Timeouts]」

「[NAT] ページ - [Timeouts]」

[NAT] ページ - [Static Rules]

変換が必要なローカル アドレスと、そのローカル アドレスが変換されるグローバル アドレスを指定して、スタティック NAT 規則を定義します。これは、スタティックまたは固定のマッピングであり、ローカル アドレスは常に同じグローバル アドレスに変換されます。

単一ホストのアドレスを変換するスタティック NAT 規則と、サブネット内の複数のアドレスを変換するスタティック規則を定義できます。複数のローカル アドレスで同じグローバル アドレスを使用する必要がある場合は、必要なポート リダイレクト情報を定義する必要があります。リダイレクト情報では、グローバル アドレスを使用して各ローカル アドレスにそれぞれ異なるポートを定義します。


) VPN を介して送信されるトラフィックに対しては NAT を実行しないことを強く推奨します。このトラフィックでアドレスを変換すると、暗号化された状態ではなく暗号化されていない状態で VPN を介して送信されます。


スタティック規則の作成手順は、変換されるアドレスがポート、単一ホスト、またはサブネット全体のいずれを示しているかで決まります。

単一ホスト用のスタティック NAT 規則 を定義するには、変換する元のアドレスと、そのアドレスが変換されるグローバル アドレスを入力します。グローバル アドレスは、デバイス上のインターフェイスから取得できます。

サブネット用のスタティック NAT 規則 を定義するには、元のアドレスとしてサブネット内(サブネット マスクを含む)のアドレスの 1 つを入力し、変換されたアドレスとして使用するグローバルアドレスの 1 つを入力します。ルータは、入力したサブネット マスクに基づいて残りのアドレスを設定します。

ポート用のスタティック NAT 規則 を定義するには、元の IP アドレスと、そのアドレスが変換されるグローバル アドレスを入力します。グローバル アドレスは、デバイス上のインターフェイスから取得できます。さらに、ポートが使用するプロトコルと、ローカル ポート番号およびグローバル ポート番号も選択する必要があります。

これらの規則を追加および編集するには、[Add Static NAT Rule] および [Edit Static NAT Rule] ダイアログボックスを使用します。このページのテーブルに表示されるフィールドについては、「[Add NAT Static Rule]/[Edit NAT Static Rule] ダイアログボックス」を参照してください。

始める前に

NAT に使用する内部インターフェイスと外部インターフェイスを定義します。「[NAT] ページ - [Interface Specification]」を参照してください。

ナビゲーション パス

(デバイス ビュー)ポリシー セレクタから [NAT] を選択し、次に [Static Rules] タブをクリックします。

(ポリシー ビュー)ポリシー タイプ セレクタから [NAT (Router)] > [Translation Rules] を選択します。既存のポリシーを選択するか新しいポリシーを作成し、[Static Rules] タブをクリックします。

関連項目

「Cisco IOS ルータにおける NAT ポリシー」

「[NAT] ページ - [Dynamic Rules]」

「[NAT] ページ - [Timeouts]」

Security Manager の標準の規則テーブルに関する項:

「規則テーブルの使用」

「テーブルのフィルタリング」

「テーブル カラムおよびカラム見出しの機能」

[Add NAT Static Rule]/[Edit NAT Static Rule] ダイアログボックス

[Add NAT Static Rule]/[Edit NAT Static Rule] ダイアログボックスを使用して、スタティック アドレス変換規則を追加または編集します。タイトルを除き、2 つのダイアログボックスは同じです。

ナビゲーション パス

「[NAT] ページ - [Static Rules]」タブに移動します。テーブルの下にある [Add] ボタンをクリックして新しい規則を追加するか、またはテーブルで規則を選択し、[Edit] をクリックしてその規則を更新します。

関連項目

「インターフェイス ロール オブジェクトについて」

フィールド リファレンス

 

表 20-2 [Add NAT Static Rule]/[Edit NAT Static Rule] ダイアログボックス

要素
説明

[Static Rule Type]

このスタティック規則で変換されるローカル アドレスのタイプ。

[Static Host]:単一ホストでスタティック アドレス変換が必要な場合。

[Static Network]:サブネットでスタティック アドレス変換が必要な場合。

[Static Port]:単一ポートでスタティック アドレス変換が必要な場合。このオプションを選択した場合は、[Port Redirection] パラメータを定義する必要があります。

[Original Address]

IP アドレス、または変換されるアドレスを示すネットワーク/ホスト オブジェクトの名前。オブジェクト名を入力するか、または選択できます。

ネットワーク/ホスト オブジェクトは、ネットワーク、ホスト、またはこれらの両方を表す IP アドレスの論理集合です。詳細については、「ネットワーク/ホスト オブジェクトについて」を参照してください。

(注) Security Manager の管理トラフィックを変換してしまう可能性があるため、このルータに属するローカル アドレスは入力しないでください。このトラフィックを変換すると、ルータと Security Manager 間の通信が失われます。

[Translated Address]

ダイアログボックスのこのセクションのオプションを使用して、元のアドレスが変換されるアドレスを指定します。

[Specify IP]:IP アドレス、または変換後のアドレスを提供するネットワーク/ホスト オブジェクトの名前を指定するには、このオプションを選択します。IP アドレス、またはネットワーク/ホスト オブジェクトの名前を [Translated IP/Network] フィールドに追加します。オブジェクト名を入力するか、または選択できます。

[Use Interface IP]:特定のインターフェイスに割り当てられている IP アドレスを変換後のアドレスとして使用するように指定するには、このオプションを選択します。 インターフェイス の名前を入力するか、または選択します(これは、通常、変換されたパケットがルータから発信される際の発信元のインターフェイスです)。

(注) このオプションは、規則のタイプとして [Static Network] を選択している場合には使用できません。1 つのインターフェイスに 1 つのスタティック規則しか定義できません。

[Port Redirection]

これらのパラメータは、アドレス変換のポート情報を指定します。ポート アドレス変換を使用すると、デバイスごとに異なるポートを指定しているかぎり、複数のデバイスに同じパブリック IP アドレスを使用できます。

(注) これらのポートは、規則のタイプとして [Static Port] を選択している場合にだけ使用できます。

[Redirect Port]:規則のタイプとして [Static Port] を選択した場合、このチェック ボックスは自動的にオンになります。変更はできません。次のフィールドに、適切な情報を入力します。

[Protocol]:これらのポートで使用する通信プロトコル(TCP または UDP)。

[Local Port]:送信元ネットワーク上のポート番号。有効な値の範囲は 1 ~ 65535 です。

[Global Port]:ルータによってこの変換に使用される宛先ネットワーク上のポート番号。有効な値の範囲は 1 ~ 65535 です。

[Advanced]

このセクションには、任意の高度な変換オプションが含まれています。

(注) [Advanced] オプションは、変換されたアドレスの定義方法として [Specify IP] オプションを選択している場合にだけ使用できます。

[No Alias]:選択すると、グローバル IP アドレス変換の自動エイリアス設定がディセーブルになります。

内部グローバル プールとして使用する NAT プールが、接続されているサブネット上のアドレスで構成されている場合、ルータでこれらのアドレスの Address Resolution Protocol(ARP; アドレス解決プロトコル)要求に応答できるように、そのアドレスに対してエイリアスが生成されます。

選択を解除すると、グローバル アドレスのエイリアスが許可されます。

[No Payload]:選択すると、ペイロード内の埋め込みアドレスまたはポートの変換が禁止されます。

ペイロード オプションは、同じ IP アドレスを共有している重複ネットワーク上のデバイス間で NAT を実行します。外部デバイスが DNS クエリーを送信して内部デバイスにアクセスした場合、DNS 応答のペイロード内のローカル アドレスは、関連する NAT 規則に応じて、グローバル アドレスに変換されます。

この機能は、[No Payload] オプションを選択することでディセーブルにできます。ディセーブルにしなかった場合、ペイロード内の埋め込みアドレスおよびポートが変換されることがあります。詳細については、「重複するネットワークのペイロード オプションのディセーブル化」を参照してください。

[Create Extended Translation Entry]:オンにすると、変換テーブル内に拡張変換エントリ(アドレスおよびポート)が作成されます。これにより、複数のグローバル アドレスを単一のローカル アドレスに関連付けることができます。これがデフォルトです。

このオプションをオフにすると、簡単な変換エントリが作成され、単一のグローバル アドレスをローカル アドレスに関連付けできるようになります。

(注) このオプションは、規則のタイプとして [Static Port] を選択している場合には使用できません。

重複するネットワークのペイロード オプションのディセーブル化

すでに合法的に所有されインターネットまたは外部ネットワーク上のデバイスに割り当てられている IP アドレスを、独自のネットワーク上の別のデバイスに割り当てると、ネットワークの重複が発生します。また、ネットワークの重複は、それぞれのネットワーク内で RFC 1918 IP アドレスを使用している 2 つの会社をマージした場合にも発生する可能性があります。これらの 2 つのネットワークは、可能であれば、すべてのデバイスのアドレスを再指定することなく、通信できる必要があります。

この通信は、次のように実現されます。内部デバイスの IP アドレスは外部デバイスに割り当てられているアドレスと同じであるため、外部デバイスは内部デバイスの IP アドレスを使用できません。代わりに、外部デバイスは内部デバイスのドメイン名を問い合わせる Domain Name System(DNS; ドメイン ネーム システム)クエリーを送信します。このクエリーの送信元は外部デバイスの IP アドレスであり、この IP アドレスは指定したアドレス プールのアドレスに変換されます。内部ネットワーク上に配置されている DNS サーバは、パケットのデータ部分に格納されている内部デバイスのドメイン名に関連付けられた IP アドレスを使用して応答します。応答パケットの宛先アドレスは外部デバイスのアドレスに変換され、応答パケットのデータ部分に格納されているアドレスは別のアドレス プールのアドレスに変換されます。このような方法で、外部デバイスは、内部デバイスの IP アドレスが 2 番目のアドレス プールのアドレスの 1 つであることを学習して、内部デバイスとの通信時にこのアドレスを使用します。NAT を実行しているルータは、この時点で変換を処理します。

ペイロード内のアドレスの変換をディセーブルにするには、グローバル IP 変換に基づいたスタティック NAT 規則を作成するときに、[No Payload] オプションをオンにします。

[NAT] ページ - [Dynamic Rules]

ルータの [NAT] ページの [NAT Dynamic Rules] タブを使用して、ダイナミック アドレス変換規則を管理します。ダイナミック アドレス変換規則は、特定のインターフェイスの IP アドレス(ダイナミック ポート変換を使用)、または宛先ネットワーク内でグローバルに一意であるアドレス プール内のアドレスを使用して、ホストをアドレスに動的にマッピングします。

ダイナミック NAT 規則の定義

ダイナミック NAT 規則を定義するには、最初に、変換が必要なトラフィックを規則で指定している Access Control List(ACL; アクセス コントロール リスト)を選択します。

次に、変換後の IP アドレスを持つインターフェイスを選択するか、または使用されるアドレス プールを定義する必要があります。プールを定義するには、アドレスの範囲を指定して、その範囲に一意の名前を指定します。複数の範囲を指定できます。ルータは、インターネットまたは別の外部ネットワークとの接続に、プール内の使用可能なアドレス(スタティック変換にも、独自の WAN IP アドレスにも使用されていないアドレス)を使用します。アドレスは、不用になると、あとで別のデバイスに動的に割り当てられるようにアドレス プールに戻されます。

ネットワークのアドレッシング要求がダイナミック NAT プール内の使用可能なアドレスの数を超えた場合は、Port Address Translation(PAT; ポート アドレス変換)機能(オーバーロードとも呼ばれる)を使用して、多数のプライベート アドレスを 1 つまたは少数のパブリック IP アドレス グループに関連付け、ポート アドレッシングを使用して各変換を一意にすることができます。PAT をイネーブルにすると、ルータは各アウトバウンド変換スロットの IP アドレスに対して一意のポート番号を選択します。この機能は、アウトバウンド接続に割り当て可能な十分な数の一意の IP アドレスがない場合に役立ちます。ポート アドレス変換は、アドレス プールが枯渇するまでは行われません。


) デフォルトでは、Security Manager は VPN を介して送信されるトラフィックに対して NAT を実行しません。それ以外の場合、暗号化の前には常に NAT が実行されるため、インターフェイスに定義されている NAT ACL とクリプト ACL の両方に含まれるすべてのトラフィックが暗号化されずに送信されます。ただし、このデフォルト設定は変更できます。



ヒント [Global VPN Settings] ページから直接、VPN トポロジのスポーク上のスプリット トンネル トラフィックに対して PAT を実行できます。スポークごとにダイナミック NAT 規則を作成する必要はありません。個々のデバイスに定義した NAT 規則によって、VPN 設定は上書きされます。詳細については、「[NAT Settings] タブ」を参照してください。


これらの規則を追加および編集するには、[Add Dynamic NAT Rule] および [Edit Static NAT Rule] ダイアログボックスを使用します。このページのテーブルに表示されるフィールドについては、「[Add NAT Dynamic Rule]/[Edit NAT Dynamic Rule] ダイアログボックス」を参照してください。

始める前に

NAT に使用する内部インターフェイスと外部インターフェイスを定義します。「[NAT] ページ - [Interface Specification]」を参照してください。

ナビゲーション パス

(デバイス ビュー)ポリシー セレクタから [NAT] を選択し、次に [Dynamic Rules] タブをクリックします。

(ポリシー ビュー)ポリシー タイプ セレクタから [NAT (Router)] > [Translation Rules] を選択します。既存のポリシーを選択するか新しいポリシーを作成し、[Dynamic Rules] タブをクリックします。

関連項目

「Cisco IOS ルータにおける NAT ポリシー」

「[NAT] ページ - [Static Rules]」

「[NAT] ページ - [Timeouts]」

Security Manager の標準の規則テーブルに関する項:

「規則テーブルの使用」

「テーブルのフィルタリング」

「テーブル カラムおよびカラム見出しの機能」

[Add NAT Dynamic Rule]/[Edit NAT Dynamic Rule] ダイアログボックス

[Add NAT Dynamic Rule]/[Edit NAT Dynamic Rule] ダイアログボックスを使用して、ダイナミック アドレス変換規則を追加または編集します。タイトルを除き、2 つのダイアログボックスは同じです。

ナビゲーション パス

「[NAT] ページ - [Dynamic Rules]」タブに移動します。テーブルの下にある [Add] ボタンをクリックして新しい規則を追加するか、またはテーブルで規則を選択し、[Edit] をクリックしてその規則を更新します。

関連項目

「アクセス コントロール リスト オブジェクトの作成」

「インターフェイス ロール オブジェクトについて」

フィールド リファレンス

 

表 20-3 [Add NAT Dynamic Rule]/[Edit NAT Dynamic Rule] ダイアログボックス

要素
説明

[Traffic Flow]

[Access List] フィールドに、ダイナミック変換が必要なアドレスをエントリで定義している Access Control List(ACL; アクセス コントロール リスト)オブジェクトの名前を入力するか、または選択します。

(注) 指定した ACL で、このルータ上のデバイス アドレスを経由する Security Manager 管理トラフィックの変換が許可されていないことを確認してください。このトラフィックを変換すると、ルータと Security Manager 間の通信が失われます。

[Translated Address]

ダイアログボックスのこのセクションのオプションを使用して、ダイナミック変換に使用する方式およびアドレスを指定します。

[Use Interface IP]:特定のインターフェイスに割り当てられているグローバルに登録された IP アドレスを変換後のアドレスとして使用するように指定するには、このオプションを選択します。ポート アドレッシングによって、各変換が一意であることが保証されます([Enable Port Translation (Overload)] オプションは、[Use Interface IP] を選択すると自動的にオンになります)。

インターフェイス の名前を入力するか、または選択します。これは、通常、変換されたパケットがルータから発信される際の発信元のインターフェイスです。つまり、インターフェイスまたはインターフェイス ロールは、ルータ上の外部インターフェイスを示している必要があります(「[NAT] ページ - [Interface Specification]」を参照)。

[Address Pool]:[Network Ranges] プールで指定したアドレスに基づいてアドレス変換を実行させるには、このオプションを選択します。

1 つまたは複数のアドレス範囲を、プレフィクスを含めて入力します。書式は min1-max1/prefix (CIDR 表記)を使用し、「prefix」は有効なネットマスクを示します。たとえば、 172.16.0.0-172.31.0.223/12 などです。

必要な数のアドレス範囲をアドレス プールに追加できますが、すべての範囲で同じプレフィクスを共有している必要があります。複数のエントリを指定する場合は、カンマで区切ります。

[Settings]

このセクションには 2 つのオプションが含まれています。

[Enable Port Translation (Overload)]:選択すると、アドレス プール内のグローバル アドレスの供給が枯渇した場合に、ルータはポート アドレッシング(PAT)を使用します。選択を解除すると、PAT は使用されません。

(注) [Translated Address] セクションで [Use Interface IP] を選択した場合、このチェック ボックスは自動的にオンになります。変更はできません。

[Do Not Translate VPN Traffic (Site-to-Site VPN only)]:このオプションの選択を解除すると、サイト間 VPN 用のトラフィックに対してアドレス変換が許可されます。

選択すると、VPN トラフィックに対してアドレス変換は実行されません。選択を解除した場合、ルータは、NAT ACL とクリプト ACL 間でアドレスが重複している場合に、VPN トラフィックに対してアドレス変換を実行します。

(注) このオプションの選択は解除しないことを強く推奨します。解除した場合、NAT ACL とクリプト ACL の両方に定義されているすべてのトラフィックが暗号化されずに送信されます。IPsec に対して NAT を実行する場合も、このオプションは選択したままにしておくことを推奨します。このオプションを選択しても、重複するネットワークから到着したアドレスの変換は実行されます。

この設定は、NAT ACL がサイト間 VPN で使用されるクリプト ACL と重複している状況でだけ適用されます。インターフェイスは最初に NAT を実行するため、この重複内のアドレスから到着したトラフィックはすべて変換され、その結果、トラフィックは暗号化されずに送信されます。このチェック ボックスをオンのままにすると、このような問題は発生しなくなります。

(注) このオプションは、リモート アクセス VPN には適用されません。

[NAT] ページ - [Timeouts]

ルータの [NAT] ページの [NAT Timeouts] タブを使用して、ポート アドレス(オーバーロード)変換のタイムアウト値を管理します。これらのタイムアウトにより、指定した非アクティブ期間が経過したあと、ダイナミック変換は期限切れになります。また、このページのオプションを使用すると、ダイナミック NAT テーブルに格納できるエントリの数を制限したり、PAT 処理を含まないすべてのダイナミック変換に対してデフォルトのタイムアウトを変更したりできます。

ダイナミック NAT のタイムアウトについて

ダイナミック NAT 変換には不使用に対するタイムアウト時間があり、この時間が経過すると、ダイナミック NAT 変換は期限切れとなり、変換テーブルから削除されます。各変換エントリには、そのエントリを使用するトラフィックの状況に応じた追加情報が含まれているため、オーバーロード機能をイネーブルにして PAT を実行する場合は、これらのタイムアウトを詳細に制御できるさまざまな値を指定できます。

たとえば、非 DNS 変換は、デフォルトでは 5 分後にタイムアウトしますが、DNS 変換は 1 分後にタイムアウトします。さらに、TCP 変換は、RST または FIN がストリーム上で検出されないかぎり 24 時間後にタイムアウトし、検出された場合は、1 分後にタイムアウトします。これらのタイムアウト値はいずれも変更できます。


) すべてのダイナミック規則に対してポート変換(オーバーロード)機能をディセーブルにしている場合は、PAT 関連のタイムアウト値を入力する必要はありません。ただし、PAT 以外のダイナミック変換のデフォルト タイムアウト値は変更できます(デフォルトでは、すべてのダイナミック変換が 24 時間後に期限切れになります)。オーバーロード機能の詳細については、「[Add NAT Dynamic Rule]/[Edit NAT Dynamic Rule] ダイアログボックス」を参照してください。


ナビゲーション パス

(デバイス ビュー)ポリシー セレクタから [NAT] を選択し、次に [Timeouts] タブをクリックします。

(ポリシー ビュー)ポリシー タイプ セレクタから [NAT (Router)] > [Translation Rules] を選択します。既存のポリシーを選択するか新しいポリシーを作成し、[Timeouts] タブをクリックします。

関連項目

「[NAT] ページ - [Interface Specification]」

「[NAT] ページ - [Static Rules]」

「[NAT] ページ - [Dynamic Rules]」

フィールド リファレンス

 

表 20-4 [NAT Timeouts] タブ

要素
説明

[Max Entries]

ダイナミック NAT テーブルに格納できるエントリの最大数。1 ~ 2147483647 の値を入力できます。またはこのフィールドを空白(デフォルト)のままにできます。空白にすると、テーブル内のエントリの数は無制限になります。

[Timeout (sec.)]

ダイナミック変換が期限切れになるまでの秒数。PAT(オーバーロード)変換には適用されません。デフォルトは 86400 秒(24 時間)です。

[UDP Timeout (sec.)]

User Datagram Protocol(UDP; ユーザ データグラム プロトコル)ポートに適用されるタイムアウト値。デフォルトは 300 秒(5 分)です。

(注) この値が適用されるのは、ダイナミック NAT 規則でポート変換(オーバーロード)がイネーブルになっている場合だけです。「[Add NAT Dynamic Rule]/[Edit NAT Dynamic Rule] ダイアログボックス」を参照してください。

[DNS Timeout (sec.)]

Domain Naming System(DNS; ドメイン ネーミング システム)サーバ接続に適用されるタイムアウト値。デフォルトは 60 秒です。

(注) この値が適用されるのは、ダイナミック NAT 規則でポート変換(オーバーロード)がイネーブルになっている場合だけです。「[Add NAT Dynamic Rule]/[Edit NAT Dynamic Rule] ダイアログボックス」を参照してください。

[TCP Timeout (sec.)]

Transmission Control Protocol(TCP)ポートに適用されるタイムアウト値。デフォルトは 86400 秒(24 時間)です。

(注) この値が適用されるのは、ダイナミック NAT 規則でポート変換(オーバーロード)がイネーブルになっている場合だけです。「[Add NAT Dynamic Rule]/[Edit NAT Dynamic Rule] ダイアログボックス」を参照してください。

[FINRST Timeout (sec.)]

終了(FIN)パケットまたはリセット(RST)パケット(どちらも接続を終了させる)が TCP ストリーム内で検出された場合に適用されるタイムアウト値。デフォルトは 60 秒です。

(注) この値が適用されるのは、ダイナミック NAT 規則でポート変換(オーバーロード)がイネーブルになっている場合だけです。「[Add NAT Dynamic Rule]/[Edit NAT Dynamic Rule] ダイアログボックス」を参照してください。

[ICMP Timeout (sec.)]

Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)フローに適用されるタイムアウト値。デフォルトは 60 秒です。

(注) この値が適用されるのは、ダイナミック NAT 規則でポート変換(オーバーロード)がイネーブルになっている場合だけです。「[Add NAT Dynamic Rule]/[Edit NAT Dynamic Rule] ダイアログボックス」を参照してください。

[PPTP Timeout (sec.)]

NAT Point-to-Point Tunneling Protocol(PPTP; ポイントツーポイント トンネリング プロトコル)フローに適用されるタイムアウト値。デフォルトは 86400 秒(24 時間)です。

(注) この値が適用されるのは、ダイナミック NAT 規則でポート変換(オーバーロード)がイネーブルになっている場合だけです。「[Add NAT Dynamic Rule]/[Edit NAT Dynamic Rule] ダイアログボックス」を参照してください。

[SYN Timeout (sec.)]

同期伝送(SYN)メッセージ(正確なクロッキングに使用)が検出されたあと、TCP フローに適用されるタイムアウト値。デフォルトは 60 秒です。

(注) この値が適用されるのは、ダイナミック NAT 規則でポート変換(オーバーロード)がイネーブルになっている場合だけです。「[Add NAT Dynamic Rule]/[Edit NAT Dynamic Rule] ダイアログボックス」を参照してください。

セキュリティ デバイスの NAT ポリシー

ここでは、管理対象のセキュリティ アプライアンス(PIX ファイアウォール、Catalyst スイッチの Firewall Service Modules(FWSM; ファイアウォール サービス モジュール)、8.3 よりも前のバージョンの Adaptive Security Appliances(ASA; 適応型セキュリティ アプライアンス)、および ASA 8.3+ デバイス)で Network Address Translation(NAT; ネットワーク アドレス変換)オプションを設定する方法について説明します。説明の順序は次のとおりです。

「トランスペアレント モードの NAT」

「[Translation Options] ページ」

PIX、FWSM、および 8.3 よりも前の ASA

「PIX、FWSM、および 8.3 よりも前の ASA デバイスでの NAT の設定」

「[Address Pools]」

「[Translation Rules]:PIX、FWSM、および 8.3 よりも前の ASA」

ASA 8.3+

「ASA 8.3+ デバイスでの NAT の設定」

「[Translation Rules]:ASA 8.3+」

トランスペアレント モードの NAT

トランスペアレント モードで動作しているセキュリティ アプライアンスで NAT を使用すると、上流または下流のルータでそれらのネットワークに対して NAT を実行する必要性がなくなります。トランスペアレント モードの NAT には、次の要件および制限があります。

マッピングされたアドレスがトランスペアレント ファイアウォールと同じネットワークにない場合、マッピングされたアドレス用に、(セキュリティ アプライアンス経由で)下流のルータを指し示すスタティック ルートを上流のルータに追加する必要があります。

実際の宛先アドレスが直接セキュリティ アプライアンスに接続されていない場合は、実際の宛先アドレス用に、下流のルータを指し示すスタティック ルートをセキュリティ アプライアンスに追加する必要もあります。NAT を使用しない場合、上流のルータから下流のルータへのトラフィックは MAC アドレス テーブルを使用するため、セキュリティ アプライアンス上のルートを必要としません。ただし、NAT を使用すると、セキュリティ アプライアンスは MAC アドレス ルックアップの代わりにルート ルックアップを使用するため、下流のルータへのスタティック ルートが必要になります。

トランスペアレント ファイアウォールにはインターフェイスの IP アドレスがないため、インターフェイス PAT は使用できません。

ARP インスペクションはサポートされていません。さらに、何らかの理由でセキュリティ アプライアンスの片側にあるホストがセキュリティ アプライアンスの反対側にあるホストに ARP 要求を送信し、送信側ホストの実際のアドレスが同じサブネット上の別のアドレスにマッピングされた場合、実際のアドレスは ARP 要求内で可視のままになります。

[Translation Options] ページ

[Translation Options] ページを使用して、選択したセキュリティ アプライアンスのネットワーク アドレス変換に影響するオプションを設定します。これらの設定は、デバイス上のすべてのインターフェイスに適用されます。

ナビゲーション パス

(デバイス ビュー)デバイス ポリシー セレクタから [NAT] > [Translation Options] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [NAT (PIX/ASA/FWSM)] > [Translation Options] を選択します。共有ポリシー セレクタから既存のポリシーを選択するか、または [Translation Options] を右クリックして新しいポリシーを作成します。

関連項目

「セキュリティ デバイスの NAT ポリシー」

フィールド リファレンス

 

表 20-5 [Translation Options] ページ

要素
説明

[Enable traffic through the firewall without address translation]

選択すると、トラフィックはアドレス変換なしでセキュリティ アプライアンスを通過できるようになります。このオプションを選択しなかった場合、変換規則と一致しないトラフィックはすべてドロップされます。

(注) このオプションは、PIX 7.x、FWSM 3.x、および ASA デバイスでだけ使用可能です。

[Enable xlate bypass]

選択すると、変換されないトラフィックに対する NAT セッションの確立がディセーブルになります(この機能は「xlate バイパス」と呼ばれます)。

(注) このオプションは、FWSM 3.2 以降でだけ使用可能です。

デフォルトでは、FWSM は、NAT が使用されていなくても、すべての接続に対して NAT セッションを作成します。たとえば、NAT 制御がイネーブルになっていない場合、NAT 免除またはアイデンティティ NAT が使用されている場合、または同じセキュリティのインターフェイスを使用しており NAT を設定していない場合にも、セッションは変換対象でない接続ごとに作成されます。NAT セッションの数には最大限度があるため(266、同時には 144)、このような種類の NAT セッションで制限に達してしまう可能性があります。制限に達しないようにするには、xlate バイパスをイネーブルにします。

NAT 制御をディセーブルにして変換対象でないトラフィックを存在させるか NAT 免除を使用する場合、または NAT 制御をイネーブルにして NAT 免除を使用する場合には、xlate バイパスを使用すると、FWSM はこれらのタイプの変換対象でないトラフィックに対してセッションを作成しません。ただし、次の場合には、NAT セッションが作成されます。

(NAT 制御の有無に関係なく)アイデンティティ NAT を設定する場合。アイデンティティ NAT は 1 つの変換と見なされます。

NAT 制御で同じセキュリティのインターフェイスを使用する場合。同じセキュリティのインターフェイス間のトラフィックは、そのトラフィックに NAT を設定していなくても、NAT セッションを作成します。このような場合に NAT セッションを回避するには、NAT 制御をディセーブルにするか、または NAT 免除と xlate バイパスを使用します。

[Do not translate VPN traffic]

選択すると、VPN トラフィックはアドレス変換なしでセキュリティ アプライアンスを通過します。

[Clear translates for existing connections]

選択すると、ダイナミック変換に割り当てられた変換スロットおよび関連付けられた接続が、各セッションのあとにクリアされます。

セキュリティ アプライアンスを介して接続され、何らかの形式の NAT または PAT が実行される各セッションは、「xlate」と呼ばれる変換スロットに割り当てられます。これらの変換スロットは、セッションが完了したあとも存続する可能性があり、そのために、変換スロットの枯渇、予期しないトラフィック動作、またはその両方が発生する可能性があります。

PIX、FWSM、および 8.3 よりも前の ASA デバイスでの NAT の設定

ここでは、PIX デバイスと FWSM デバイス、および 8.3 よりも前のバージョンの ASA でネットワーク アドレス変換を設定する方法について説明します(ASA 8.3+ デバイスでの NAT の設定については、「ASA 8.3+ デバイスでの NAT の設定」を参照してください)。

「[Address Pools]」

「[Translation Rules]:PIX、FWSM、および 8.3 よりも前の ASA」

「[Translation Exemptions (NAT 0 ACL)]」

「[Dynamic Rules] タブ」

「[Policy Dynamic Rules] タブ」

「[Static Rules] タブ」

「[General] タブ」

[Address Pools]

[Address Pools] ページを使用して、ダイナミック NAT 規則で使用されるグローバル アドレス プールを表示および管理します。

これらのアドレス プールを追加および編集するには、[Address Pool] ダイアログボックスを使用します。このページの [Global Address Pools] テーブルに表示されるフィールドについては、「[Address Pool] ダイアログボックス」を参照してください。

ナビゲーション パス

(デバイス ビュー)デバイス ポリシー セレクタから [NAT] > [Address Pools] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [NAT (PIX/ASA/FWSM)] > [Address Pools] を選択します。共有ポリシー セレクタから既存のポリシーを選択するか、または [Address Pools] を右クリックして新しいポリシーを作成します。

関連項目

「PIX、FWSM、および 8.3 よりも前の ASA デバイスでの NAT の設定」

[Address Pool] ダイアログボックス

[Address Pool] ダイアログボックスを使用して、ダイナミック NAT 規則で使用するグローバル アドレス プールを追加または編集します。

ナビゲーション パス

[Address Pool] ダイアログボックスを開くには、「[Address Pools]」で [Add Row] または [Edit Row] ボタンをクリックします。

関連項目

「PIX、FWSM、および 8.3 よりも前の ASA デバイスでの NAT の設定」

フィールド リファレンス

 

表 20-6 [Address Pools] ダイアログボックス

要素
説明

[Interface Name]

マッピングされた IP アドレスが使用されるデバイス インターフェイスの名前を入力するか、または選択します。

[Pool ID]

このアドレス プールの一意の識別番号を 1 ~ 2147483647 の整数で入力します。ダイナミック NAT 規則を設定する場合は、[Pool ID] を選択して、変換に使用されるアドレス プールを指定します。

[IP address ranges]

このアドレス プールに割り当てられるアドレスを入力するか、または選択します。これらのアドレスは次のように指定できます。

ダイナミック NAT のアドレス範囲(192.168.1.1-192.168.1.15 など)

サブネットワーク(192.168.1.0/24 など)

カンマ区切りのアドレスのリスト(192.168.1.1, 192.168.1.2, 192.168.1.3 など)

PAT に使用する単一のアドレス(192.168.1.1 など)

上記の組み合わせ(192.168.1.1-192.168.1.15, 192.168.1.25 など)

接続されるネットワーク上のホストの名前。これらは IP アドレスに解決されます。

[Description]

アドレス プールの説明を入力します。

[Enable Interface PAT]

オンにすると、指定したインターフェイスでポート アドレス変換がイネーブルになります。

[Translation Rules]:PIX、FWSM、および 8.3 よりも前の ASA

[Translation Rules] ページを使用して、選択したデバイスの Network Address Translation(NAT; ネットワーク アドレス変換)規則を定義します。[Translation Rules] ページは、次のタブで構成されています。

「[Translation Exemptions (NAT 0 ACL)]」:このタブを使用して、アドレス変換が免除されるトラフィックを指定する規則を設定します。


) 変換免除は、ルータ モードの PIX、ASA、および FWSM とトランスペアレント モードの FWSM 3.2 デバイスだけでサポートされます。トランスペアレント モードのその他のデバイスでは、スタティック変換規則だけがサポートされます。


「[Dynamic Rules] タブ」:このタブを使用して、ダイナミック NAT 規則とダイナミック PAT 規則を設定します。


) ダイナミック変換規則は、ルータ モードの PIX、ASA、および FWSM とトランスペアレント モードの FWSM 3.2 デバイスだけでサポートされます。トランスペアレント モードのその他のデバイスでは、スタティック変換規則だけがサポートされます。


「[Policy Dynamic Rules] タブ」:このタブを使用して、送信元アドレスと宛先アドレスおよびサービスに基づいたダイナミック変換規則を設定します。


) ポリシーのダイナミック規則は、ルータ モードの PIX、ASA、および FWSM とトランスペアレント モードの FWSM 3.2 デバイスだけでサポートされます。トランスペアレント モードのその他のデバイスでは、スタティック変換規則だけがサポートされます。


「[Static Rules] タブ」:このタブを使用して、セキュリティ アプライアンスまたは共有ポリシーのスタティック変換規則を設定します。

「[General] タブ」:このタブを使用して、デバイス上で検証される順序で、現在あるすべての変換規則を一覧表示します。


) [General] タブは、ルータ モードの PIX、ASA、および FWSM とトランスペアレント モードの FWSM 3.2 デバイスだけで表示されます。トランスペアレント モードのその他のデバイスでは、スタティック変換規則だけがサポートされ、概要情報を表示する必要はありません。


ナビゲーション パス

[Translation Rules] ページにアクセスするには、次のいずれかを実行します。

(デバイス ビュー)デバイス ポリシー セレクタから [NAT] > [Translation Rules] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [NAT (PIX/ASA/FWSM)] > [Translation Rules] を選択します。共有ポリシー セレクタから既存のポリシーを選択するか、または [Translation Rules] を右クリックして新しいポリシーを作成します。

[Translation Exemptions (NAT 0 ACL)]

[Translation Rules] ページの [Translation Exemptions (NAT 0 ACL)] タブを使用して、トラフィックにアドレス変換を免除する規則を表示および指定します。規則は、リスト内の順序に従って評価されます。行番号は、リスト内の順序における規則の位置を示します。[Up Row] ボタンおよび [Down Row] ボタンを使用して、選択した規則の位置を変更できます。

[Add/Edit Translation Exemption (NAT-0 ACL) Rule] ダイアログボックスを使用して、これらの規則を追加および編集します。このページのテーブルに表示されるフィールドについては、「[Add/Edit Translation Exemption (NAT-0 ACL) Rule] ダイアログボックス」を参照してください。


) 変換免除は、ルータ モードの PIX、ASA、および FWSM とトランスペアレント モードの FWSM 3.2 デバイスだけでサポートされます。トランスペアレント モードのその他のデバイスでは、スタティック変換規則だけがサポートされます。


ナビゲーション パス

[Translation Exemptions (NAT 0 ACL)] タブには、「[Translation Rules]:PIX、FWSM、および 8.3 よりも前の ASA」ページからアクセスできます。

関連項目

「PIX、FWSM、および 8.3 よりも前の ASA デバイスでの NAT の設定」

「[Advanced NAT Options] ダイアログボックス」

「[General] タブ」

Security Manager の標準の規則テーブルに関する項:

「規則テーブルの使用」

「テーブルのフィルタリング」

「テーブル カラムおよびカラム見出しの機能」

[Add/Edit Translation Exemption (NAT-0 ACL) Rule] ダイアログボックス

[Add/Edit Translation Exemption (NAT-0 ACL) Rule] ダイアログボックスを使用して、ルータ モードの PIX、FWSM、および 8.3 よりも前の ASA デバイスと、トランスペアレント モードの FWSM 3.2 デバイスでの変換免除規則を定義および編集します。

ナビゲーション パス

[Add/Edit Translation Exemption (NAT-0 ACL) Rule] ダイアログボックスには、[Translation Exemptions (NAT 0 ACL)] タブからアクセスできます。詳細については、「[Translation Exemptions (NAT 0 ACL)]」を参照してください。

関連項目

「PIX、FWSM、および 8.3 よりも前の ASA デバイスでの NAT の設定」

「[Translation Rules]:PIX、FWSM、および 8.3 よりも前の ASA」

「[Advanced NAT Options] ダイアログボックス」

フィールド リファレンス

 

表 20-7 [Add/Edit Translation Exemption (NAT-0 ACL) Rule] ダイアログボックス

要素
説明

[Enable Rule]

オンにすると、規則がイネーブルになります。規則を削除せずにディセーブルにするには、このオプションの選択を解除します。

[Action]

この規則のアクションを選択します。

[exempt]:NAT が免除されるトラフィックを規則で指定します。

[do not exempt]:NAT が免除されないトラフィックを規則で指定します。

[Original: Interface]

規則を適用するデバイス インターフェイスの名前を入力するか、または選択します。

[Original: Sources]

規則を適用する発信元ホストおよびネットワーク オブジェクトの IP アドレスを入力するか、または選択します。複数のエントリを指定する場合は、カンマで区切ります。

このパラメータは、[Translation Exemptions (NAT 0 ACL)] テーブルのカラム見出し [Original Address] の下に表示されることに注意してください。

[Translated: Direction]

このオプションによる指定に従って、規則をインバウンド トラフィックまたはアウトバウンド トラフィックに適用できます。

[Traffic flow: Destinations]

規則を適用する宛先ホストおよびネットワーク オブジェクトの IP アドレスを入力するか、または選択します。複数のエントリを指定する場合は、カンマで区切ります。

[Category]

規則をカテゴリに割り当てるには、このリストからカテゴリを選択します。カテゴリは、ラベルやカラーコーディングを使用した規則とオブジェクトの識別に役立ちます。

カテゴリを定義するには、[Tools] > [Policy Object Manager] > [Category] を選択します。詳細については、「カテゴリ オブジェクトの使用」を参照してください。

(注) カテゴリ属性のコマンドは生成されません。

[Description]

規則の説明を入力します。

[Advanced] ボタン(FWSM だけ)

クリックすると、「[Advanced NAT Options] ダイアログボックス」が開き、この規則の高度な設定を行うことができます。

[Dynamic Rules] タブ

[Translation Rules] ページの [Dynamic Rules] タブを使用して、ダイナミック NAT 規則とダイナミック PAT 規則を表示および設定します。規則は、リスト内の順序に従って評価されます。行番号は、リスト内の順序における規則の位置を示します。[Up Row] ボタンおよび [Down Row] ボタンを使用して、選択した規則の位置を変更できます。

ダイナミック NAT では、内部 IP アドレスは、グローバル アドレス プールの IP アドレスを使用して動的に変換されます。ダイナミック PAT では、内部 IP アドレスは、動的に割り当てられるポート番号とマッピングされたアドレスを併用して、単一のマッピングされたアドレスに変換されます。ダイナミック変換は、多くの場合、ローカルの RFC 1918 IP アドレスをインターネットでルーティング可能なアドレスにマッピングするために使用されます。

[Add/Edit Dynamic Translation Rule] ダイアログボックスを使用して、これらの規則を追加および編集します。このページのテーブルに表示されるフィールドについては、「[Add/Edit Dynamic Translation Rule] ダイアログボックス」を参照してください。


) ダイナミック変換規則は、ルータ モードの PIX、ASA、および FWSM とトランスペアレント モードの FWSM 3.2 デバイスだけでサポートされます。トランスペアレント モードのその他のデバイスでは、スタティック変換規則だけがサポートされます。


ナビゲーション パス

[Dynamic Rules] タブには、[Translation Rules] ページからアクセスできます。[Translation Rules] ページの詳細については、「[Translation Rules]:PIX、FWSM、および 8.3 よりも前の ASA」を参照してください。


) デフォルトでは、[Dynamic Rule] の標準要素だけがこのテーブルに表示されます。カラムの見出しを右クリックすると、[Advanced NAT Options] ダイアログボックスで定義されている要素の他のカラムを表示できます(「[General] タブ」には、デフォルトですべてのカラムが表示されます)。


関連項目

「PIX、FWSM、および 8.3 よりも前の ASA デバイスでの NAT の設定」

「[Advanced NAT Options] ダイアログボックス」

「[Select Address Pool] ダイアログボックス」

「[General] タブ」

標準の規則テーブルに関する内容:

「規則テーブルの使用」

「テーブルのフィルタリング」

「テーブル カラムおよびカラム見出しの機能」

[Add/Edit Dynamic Translation Rule] ダイアログボックス

[Add/Edit Dynamic Translation Rule] ダイアログボックスを使用して、ダイナミック NAT 規則とダイナミック PAT 規則を定義および編集します。

ナビゲーション パス

[Add/Edit Dynamic Translation Rule] ダイアログボックスには、[Dynamic Rules] タブからアクセスできます。詳細については、「[Dynamic Rules] タブ」を参照してください。

関連項目

「PIX、FWSM、および 8.3 よりも前の ASA デバイスでの NAT の設定」

「[Translation Rules]:PIX、FWSM、および 8.3 よりも前の ASA」

「[Advanced NAT Options] ダイアログボックス」

「[Select Address Pool] ダイアログボックス」

フィールド リファレンス

 

表 20-8 [Add/Edit Dynamic Translation Rule] ダイアログボックス

要素
説明

[Enable Rule]

オンにすると、規則がイネーブルになります。規則を削除せずにディセーブルにするには、このオプションの選択を解除します。

[Original: Interface]

規則を適用するデバイス インターフェイスの名前を入力するか、または選択します。

[Original: Address]

規則を適用する発信元ホストおよびネットワーク オブジェクトの IP アドレスを入力するか、または選択します。複数のエントリを指定する場合は、カンマで区切ります。

[Translated: Pool]

変換に使用するアドレスのプールの ID 番号を入力するか、または選択します。[Select] をクリックすると「[Select Address Pool] ダイアログボックス」が開きます。

これをアイデンティティ NAT 規則として指定するには、値 0 を入力します。

[Translated: Direction]

このオプションによる指定に従って、規則をインバウンド トラフィックまたはアウトバウンド トラフィックに適用できます。

[Advanced] ボタン

クリックすると、「[Advanced NAT Options] ダイアログボックス」が開き、この規則の高度な設定を行うことができます。

[Select Address Pool] ダイアログボックス

[Select Address Pool] ダイアログボックスには、グローバル アドレス プールのリストが表示されます。これらのプールは、「[Address Pools]」を使用して定義および管理されます。このダイアログボックスを使用して、ダイナミック変換規則またはポリシー ダイナミック変換規則で使用するアドレス プールを選択します。

ナビゲーション パス

ダイナミック変換規則を追加または編集する場合は「[Add/Edit Dynamic Translation Rule] ダイアログボックス」から、ポリシー ダイナミック変換規則を追加または編集する場合は「[Add/Edit Policy Dynamic Rules] ダイアログボックス」から [Select Address Pool] ダイアログボックスにアクセスできます。

関連項目

「PIX、FWSM、および 8.3 よりも前の ASA デバイスでの NAT の設定」

「[Translation Rules]:PIX、FWSM、および 8.3 よりも前の ASA」

「[Address Pools]」

フィールド リファレンス

 

表 20-9 [Select Address Pool] ダイアログボックス

要素
説明

[Pool ID]

アドレス プールの識別番号。

[Interface]

アドレス プールが適用されるデバイス インターフェイスの名前。

[IP Address Ranges]

プールに割り当てられる IP アドレス。このリストの「インターフェイス」は、指定したインターフェイスで PAT がイネーブルになっていることを示します。

[Description]

アドレス プールの説明。

[Selected Row]

このフィールドは、リスト内で現在選択されているプールを示します。[OK] をクリックするとダイアログボックスが閉じ、このプールが変換規則に割り当てられます。

[Policy Dynamic Rules] タブ

[Translation Rules] ページの [Policy Dynamic Rules] タブを使用して、送信元アドレスと宛先アドレスおよびサービスに基づいたダイナミック変換規則を表示および設定します。規則は、リスト内の順序に従って評価されます。行番号は、リスト内の順序における規則の位置を示します。[Up Row] ボタンおよび [Down Row] ボタンを使用して、選択した規則の位置を変更できます。

[Add Policy Dynamic Rule]/[Edit Policy Dynamic Rule] ダイアログボックスを使用して、これらの規則を追加および編集します。このページのテーブルに表示されるフィールドについては、「[Add/Edit Policy Dynamic Rules] ダイアログボックス」を参照してください。


) ポリシーのダイナミック規則は、ルータ モードの PIX、ASA、および FWSM とトランスペアレント モードの FWSM 3.2 デバイスだけでサポートされます。トランスペアレント モードのその他のデバイスでは、スタティック変換規則だけがサポートされます。


ナビゲーション パス

[Policy Dynamic Rules] タブには、[Translation Rules] ページからアクセスできます。詳細については、「[Translation Rules]:PIX、FWSM、および 8.3 よりも前の ASA」を参照してください。


) デフォルトでは、[Policy Dynamic Rule] の標準要素だけがこのテーブルに表示されます。カラムの見出しを右クリックすると、[Advanced NAT Options] ダイアログボックスで定義されている要素の他のカラムを表示できます(「[General] タブ」には、デフォルトですべてのカラムが表示されます)。


関連項目

「PIX、FWSM、および 8.3 よりも前の ASA デバイスでの NAT の設定」

「[Add/Edit Policy Dynamic Rules] ダイアログボックス」

「[Advanced NAT Options] ダイアログボックス」

「[Select Address Pool] ダイアログボックス」

「[General] タブ」

標準の規則テーブルに関する内容:

「規則テーブルの使用」

「テーブルのフィルタリング」

「テーブル カラムおよびカラム見出しの機能」

[Add/Edit Policy Dynamic Rules] ダイアログボックス

[Add/Edit Policy Dynamic Rules] ダイアログボックスを使用して、送信元アドレスと宛先アドレスおよびサービスに基づいたダイナミック変換規則を定義および編集します。

ナビゲーション パス

[Add/Edit Policy Dynamic Rules] ダイアログボックスには、[Policy Dynamic Rules] タブからアクセスできます。詳細については、「[Policy Dynamic Rules] タブ」を参照してください。

関連項目

「PIX、FWSM、および 8.3 よりも前の ASA デバイスでの NAT の設定」

「[Translation Rules]:PIX、FWSM、および 8.3 よりも前の ASA」

「[Policy Dynamic Rules] タブ」

「[Advanced NAT Options] ダイアログボックス」

「[Select Address Pool] ダイアログボックス」

フィールド リファレンス

 

表 20-10 [Add/Edit Policy Dynamic Rules] ダイアログボックス

要素
説明

[Enable Rule]

オンにすると、規則がイネーブルになります。規則を削除せずにディセーブルにするには、このオプションの選択を解除します。

[Original: Interface]

規則を適用するデバイス インターフェイスの名前を入力するか、または選択します。

[Original: Sources]

規則を適用する発信元ホストおよびネットワーク オブジェクトの IP アドレスを入力するか、または選択します。複数のエントリを指定する場合は、カンマで区切ります。

このパラメータは、[Policy Dynamic Rules] テーブルのカラム見出し [Original Address] の下に表示されることに注意してください。

[Translated: Pool]

変換に使用するアドレスのプールの ID 番号を入力するか、または選択します。[Select] をクリックすると「[Select Address Pool] ダイアログボックス」が開きます。

これをアイデンティティ NAT 規則として指定するには、値 0 を入力します。

[Translated: Direction]

このオプションによる指定に従って、規則をインバウンド トラフィックまたはアウトバウンド トラフィックに適用できます。

[Traffic flow: Destinations]

規則を適用する宛先ホストおよびネットワーク オブジェクトの IP アドレスを入力するか、または選択します。複数のエントリを指定する場合は、カンマで区切ります。

[Traffic flow: Services]

規則を適用するサービスを入力するか、または選択します。複数のエントリを指定する場合は、カンマで区切ります。

[Category]

規則をカテゴリに割り当てるには、このリストからカテゴリを選択します。カテゴリは、ラベルやカラーコーディングを使用した規則とオブジェクトの識別に役立ちます。

カテゴリを定義するには、[Tools] > [Policy Object Manager] > [Category] を選択します。詳細については、「カテゴリ オブジェクトの使用」を参照してください。

(注) カテゴリ属性のコマンドは生成されません。

[Description]

規則の説明を入力します。

[Advanced] ボタン

クリックすると、「[Advanced NAT Options] ダイアログボックス」が開き、この規則の高度な設定を行うことができます。

[Static Rules] タブ

[Translation Rules] ページの [Static Rules] タブを使用して、セキュリティ アプライアンスまたは共有ポリシーのスタティック変換規則を表示および設定します。規則は、リスト内の順序に従って評価されます。行番号は、リスト内の順序における規則の位置を示します。[Up Row] ボタンおよび [Down Row] ボタンを使用して、選択した規則の位置を変更できます。

スタティック変換では、内部 IP アドレスは常にグローバル IP アドレスにマッピングされます。これらの規則は、セキュリティレベルの低いインターフェイス上のホスト アドレスをセキュリティレベルの高いインターフェイス上のグローバル アドレスにマッピングします。たとえば、スタティック規則は、境界ネットワーク上の Web サーバのローカル アドレスを、外部インターフェイス上のホストが Web サーバへのアクセスに使用するグローバル アドレスにマッピングするために使用されます。


注意 セキュリティ デバイス上のスタティック NAT 規則の順序は重要であり、Security Manager は展開時にこの順序を保持します。ただし、セキュリティ アプライアンスでは、スタティック NAT 規則のインライン編集はサポートしていません。つまり、リストの末尾よりも上の任意の場所で規則を移動、編集、または挿入すると、Security Manager は、新規または変更した規則の後に続くすべてのスタティック NAT 規則をデバイスから削除し、その時点から更新されたリストを再送信します。リストの長さによっては、この処理にかなりのオーバーヘッドがかかる可能性があり、結果としてトラフィックが中断されることがあります。可能なかぎり、新しいスタティック NAT 規則はリストの末尾に追加してください。

[Add/Edit Static Rule] ダイアログボックスを使用して、これらの規則を追加および編集します。このページのテーブルに表示されるフィールドについては、「[Add/Edit Static Rule] ダイアログボックス」を参照してください。

[Static Rules] テーブルの [Nailed] カラム

「[Add/Edit Static Rule] ダイアログボックス」で指定したパラメータを示すカラムに加えて、[Static Rules] テーブルには [Nailed] というラベルの付いたカラムが表示されます。この値は、デバイス検出で入力される値であり、Security Manager では変更できません。

[Nailed] カラムのエントリは、その接続に対して TCP ステート トラッキングおよびシーケンス チェックがスキップされるかどうかを [true] または [false] で示します。

ナビゲーション パス

[Static Rules] タブには、[Translation Rules] ページからアクセスできます。詳細については、「[Translation Rules]:PIX、FWSM、および 8.3 よりも前の ASA」を参照してください。


) デフォルトでは、[Static Rules] の標準要素だけがこのテーブルに表示されます。カラムの見出しを右クリックすると、[Advanced NAT Options] ダイアログボックスで定義されている要素の他のカラムを表示できます(「[General] タブ」には、デフォルトですべてのカラムが表示されます)。


関連項目

「PIX、FWSM、および 8.3 よりも前の ASA デバイスでの NAT の設定」

「[Add/Edit Static Rule] ダイアログボックス」

「[Advanced NAT Options] ダイアログボックス」

「[General] タブ」

標準の規則テーブルに関する内容:

「規則テーブルの使用」

「テーブルのフィルタリング」

「テーブル カラムおよびカラム見出しの機能」

[Add/Edit Static Rule] ダイアログボックス

[Add/Edit Static Rule] ダイアログボックスを使用して、ファイアウォール デバイスまたは共有ポリシーのスタティック変換規則を追加または編集します。

ナビゲーション パス

[Add/Edit Static Rule] ダイアログボックスには、「[Static Rules] タブ」からアクセスできます。

関連項目

「PIX、FWSM、および 8.3 よりも前の ASA デバイスでの NAT の設定」

「[Translation Rules]:PIX、FWSM、および 8.3 よりも前の ASA」

「[Advanced NAT Options] ダイアログボックス」

フィールド リファレンス

 

表 20-11 [Add/Edit Static Rule] ダイアログボックス

要素
説明

[Enable Rule]

オンにすると、規則がイネーブルになります。規則を削除せずにディセーブルにするには、このオプションの選択を解除します。

[Translation Type]

この規則の変換のタイプ([NAT] または [PAT])を選択します。

[Original Interface]

変換される元のアドレスを持つホストまたはネットワークに接続されているデバイス インターフェイスを入力するか、または選択します。

[Original Address]

変換される送信元アドレスを入力するか、または選択します。

[Translated Interface]

変換後のアドレスが使用されるインターフェイスを入力するか、または選択します。

この規則をアイデンティティ NAT 規則として指定するには、このフィールドと [Original Interface] フィールドの両方に同じインターフェイスを入力します。

[Use Interface IP/Use Selected Address]

変換後のインターフェイスで使用するアドレスを指定します。[Use Interface IP](アドレス)を選択するか、または [Use Selected Address] を選択してアドレスを入力するかネットワーク/ホスト オブジェクトを選択します。

[Enable Policy NAT]

この変換規則に対してポリシー NAT をイネーブルにするには、このオプションを選択します。

[Dest Address]

ポリシー NAT をイネーブルにした場合は、規則が適用されるホストまたはネットワークの宛先アドレスを指定します。

[Services]

ポリシー NAT をイネーブルにした場合は、規則が適用されるサービスを入力するか、または選択します。

(注) スタティック ポリシー NAT の場合、指定できるサービスは IP だけです。

サービスおよびサービス オブジェクトを指定する構文は、次のとおりです。

{ tcp | udp | tcp&udp }/{ source_port_number | port_list_object }/ { destination_port_number | port_list_object }

1 つのポート パラメータしか入力しなかった場合、このパラメータは宛先ポートとして解釈されることに注意してください(送信元ポートは「any」になります)。たとえば、 tcp/4443 は tcp、送信元ポート any、宛先ポート 4443 を意味し、 tcp/4443/Default Range は tcp、送信元ポート 4443、宛先ポート Default Range(通常、1 ~ 65535)を意味します。

すべてのテキスト入力フィールドと同様に、Security Manager によってオートコンプリート オプションが表示されることがあります。たとえば、このフィールドに tcp/ と入力すると、Security Manager に定義されているすべてのポート リスト オブジェクトのオートコンプリート リストが表示されます。このリストには、DEFAULT RANGE、HTTPS、および WEBPORTS などのシステム生成オブジェクトが含まれています。

ポート リストの詳細については「ポート リスト オブジェクトの設定」を、サービス定義の詳細については「サービス オブジェクトの設定」を参照してください。

[Protocol]

[Translation Type] で [PAT] を選択した場合は、規則が適用されるプロトコル(TCP または UDP)を選択します。

[Original Port]

[Translation Type] で [PAT] を選択した場合は、変換されるポート番号を入力します。

このパラメータは、[Static Rules] テーブルのカラム見出し [Local Port] の下に表示されることに注意してください。

[Translated Port]

[Translation Type] で [PAT] を選択した場合は、元のポート番号が変換されるポート番号を入力します。

このパラメータは、[Static Rules] テーブルのカラム見出し [Global Port] の下に表示されることに注意してください。

[Category]

規則をカテゴリに割り当てるには、このリストからカテゴリを選択します。カテゴリは、ラベルやカラーコーディングを使用した規則とオブジェクトの識別に役立ちます。

カテゴリを定義するには、[Tools] > [Policy Object Manager] > [Category] を選択します。詳細については、「カテゴリ オブジェクトの使用」を参照してください。

(注) カテゴリ属性のコマンドは生成されません。

[Description]

規則の説明を入力します。

[Advanced] ボタン

クリックすると、「[Advanced NAT Options] ダイアログボックス」が開き、この規則の高度な設定を行うことができます。

[Edit Translated Address] ダイアログボックス

スタティック変換規則に割り当てられている変換後のアドレスだけを変更するには、[Edit Translated Address] ダイアログボックスを使用します。変換後のアドレスとは、元のアドレスが変更されるアドレスです。インターフェイスの IP アドレスを使用することも、特定の IP アドレスを入力することもできます。スタティック規則および変換後のアドレスの詳細については、「[Static Rules] タブ」を参照してください。

ファイアウォール規則のセルの編集に関する詳細については、「規則の編集」を参照してください。

ナビゲーション パス

([NAT] > [Translation Rules] ページにある)[Static Rules] テーブルの [Translated Address] セルを右クリックして、[Edit Translated Address] を選択します。

[Advanced NAT Options] ダイアログボックス

[Advanced NAT Options] ダイアログボックスを使用して、NAT およびポリシー NAT の高度な接続設定(DNS 書き換え、最大 TCP および最大 UDP 接続数、初期接続制限、タイムアウト(PIX 6.x)、およびシーケンス番号のランダム化)を指定します。これらのオプションは、FWSM の変換免除(NAT 0 ACL)規則でも設定できます。

ナビゲーション パス

変換規則の追加または編集時に [Advanced] ボタンをクリックすると、[Advanced NAT Options] ダイアログボックスにアクセスできます。詳細については、次の項を参照してください。

「[Add/Edit Translation Exemption (NAT-0 ACL) Rule] ダイアログボックス」

「[Add/Edit Dynamic Translation Rule] ダイアログボックス」

「[Add/Edit Policy Dynamic Rules] ダイアログボックス」

「[Add/Edit Static Rule] ダイアログボックス」

関連項目

「PIX、FWSM、および 8.3 よりも前の ASA デバイスでの NAT の設定」

「[Translation Rules]:PIX、FWSM、および 8.3 よりも前の ASA」

フィールド リファレンス

 

表 20-12 [Advanced NAT Options] ダイアログボックス

要素
説明

[Translate the DNS replies that match the translation rule]

オンにすると、外部クライアントが内部 DNS サーバを使用して内部ホストの名前を解決できるように、またその逆ができるように、セキュリティ アプライアンスは DNS 応答を書き換えます。たとえば、NAT 規則に、DNS サーバ内にエントリを持つホストの実際のアドレスが含まれていて、DNS サーバがクライアントとは別のインターフェイス上にある場合、クライアントおよび DNS サーバにはそれぞれ異なるホスト用アドレスが必要です。つまり、片方にはマッピングされたアドレス、もう片方には実際のアドレスが必要です。このオプションは、クライアントに送信される DNS 応答内のアドレスを書き換えます。

例として、内部 Web サーバ www.example.com に IP アドレス 192.168.1.1 があり、このアドレスがアプライアンスの外部インターフェイス上の 10.1.1.1 に変換されるとします。外部クライアントは内部 DNS サーバに DNS 要求を送信し、これにより www.example.com は 192.168.1.1 に解決されます。DNS 書き換えをイネーブルにしたセキュリティ アプライアンスに応答が到着すると、外部クライアントが正しい IP アドレスを取得できるように、セキュリティ アプライアンスはペイロード内の IP アドレスを 10.1.1.1 に変換します。

マッピングされたホストがクライアントまたは DNS サーバと同じインターフェイス上に存在している必要があることに注意してください。通常、他のインターフェイスからのアクセスを許可する必要があるホストはスタティック変換を使用するため、このオプションはスタティック規則で使用される可能性があります。

[Max TCP Connections per Rule]

許容される TCP 接続の最大数を入力します。有効な値は 0 ~ 65,535 です。この値を 0 に設定すると、接続数は無制限になります。

[Max UDP Connections per Rule]

許容される UDP 接続の最大数を入力します。有効な値は 0 ~ 65,535 です。この値を 0 に設定すると、接続数は無制限になります。

[Max Embryonic Connections]

初期接続制限を超えると、クライアントからセキュリティ レベルのより高いサーバに送信される TCP SYN パケットが、TCP 代行受信機能によって代行受信されます。初期接続は、送信元と宛先間で必要なハンドシェイクを完了しなかった接続要求です。この制限は、初期接続のフラッドによる攻撃を防ぐために設定します。有効な値は 0 ~ 65,535 です。この値を 0 に設定すると、接続数は無制限になります。

任意の正の値を入力すると、TCP 代行受信機能がイネーブルになります。TCP 代行受信は、TCP SYN パケットを使用してインターフェイスをフラッディングすることによる DoS 攻撃から内部システムを保護します。初期接続制限を超えると、クライアントからセキュリティ レベルのより高いサーバに送信される TCP SYN パケットが、TCP 代行受信機能によって代行受信されます。検証プロセス中に SYN クッキーが使用され、ドロップされる有効なトラフィックの数が最小限に抑えられます。したがって、到達不能なホストからの接続試行がサーバに到達することはありません。

[Timeout]

PIX 6.x デバイスの場合は、この変換規則のタイムアウト値を hh:mm:ss の書式で入力します。この値は、00:00:00 を指定しないかぎり、[Platform] > [Security] > [Timeouts] で指定したデフォルトの変換タイムアウトを上書きします。00:00:00 を指定した場合、この規則に一致する変換では、([Platform] > [Security] > [Timeouts] で指定した)デフォルトの変換タイムアウトが使用されます。

[Randomize Sequence Number]

オンにすると、セキュリティ アプライアンスによって TCP パケットのシーケンス番号がランダム化されます。個々の TCP 接続には 2 つの Initial Sequence Number(ISN; 初期シーケンス番号)があり、そのうちの 1 つはクライアントで生成され、もう 1 つはサーバで生成されます。セキュリティ アプライアンスは、インバウンド方向とアウトバウンド方向の両方で、TCP SYN の ISN をランダム化します。保護対象のホストの ISN をランダム化することにより、攻撃者が新しい接続に使用される次の ISN を予測して新しいセッションをハイジャックするのを阻止します。

この機能は、次の場合にかぎりディセーブルにします。

別のインライン セキュリティ アプライアンスでも初期シーケンス番号をランダム化しており、データがスクランブル化されている場合。

セキュリティ アプライアンスを介して eBGP マルチホップを使用しており、eBGP ピアが MD5 を使用している場合。ランダム化すると、MD5 チェックサムが破損します。

セキュリティ アプライアンスによって接続のシーケンス番号がランダム化されないことを必要とする WAAS デバイスを使用している場合。

このオプションをディセーブルにすると、セキュリティ アプライアンスにセキュリティ ホールが開きます。

[General] タブ

[Translation Rules] ページの [General] タブを使用して、現在のデバイスまたは共有ポリシーに定義されているすべての変換規則の概要を表示します。変換規則は、デバイス上で検証される順序で一覧表示されます。


) [General] タブは、ルータ モードの PIX、ASA、および FWSM デバイスとトランスペアレント モードの FWSM 3.2 デバイスだけで表示されます。トランスペアレント モードのその他のデバイスでは、スタティック変換規則だけがサポートされ、概要情報を表示する必要はありません。


ナビゲーション パス

[General] タブには、[Translation Rules] ページからアクセスできます。詳細については、「[Translation Rules]:PIX、FWSM、および 8.3 よりも前の ASA」を参照してください。

関連項目

「PIX、FWSM、および 8.3 よりも前の ASA デバイスでの NAT の設定」

「[Translation Exemptions (NAT 0 ACL)]」

「[Dynamic Rules] タブ」

「[Policy Dynamic Rules] タブ」

「[Static Rules] タブ」

標準の規則テーブルに関する内容:

「規則テーブルの使用」

「テーブルのフィルタリング」

「テーブル カラムおよびカラム見出しの機能」

フィールド リファレンス

 

表 20-13 [General] タブ - [Translation Rules Summary] テーブル

要素
説明
(注) テーブル内のエントリに斜線の網掛けが適用されている場合は、規則が現在ディセーブルになっていることを示します(これらの規則のイネーブル化およびディセーブル化の詳細については、「[Add/Edit Dynamic Translation Rule] ダイアログボックス」の [Enable Rule] を参照してください)。

[No.]

規則は、リスト内の順序に従って評価されます。この番号は、リストの順序における規則の位置を示します。

[Type]

変換規則のタイプ。[Static]、[Dynamic]、[Exemption] など。

[Action]

NAT 免除規則の場合は [exempt] が表示されます。

[Original Interface]

規則が適用されるデバイス インターフェイスの ID。

[Original Address]

規則が適用される送信元ホストおよびネットワークのオブジェクト名または IP アドレス。

[Local Port]

ホストまたはネットワークによって提供されるポート番号(スタティック PAT 用)。

[Translated Pool]

変換に使用されるアドレス プールの ID 番号。

[Translated Interface]

変換後のアドレスが使用されるインターフェイス。

[Translated Address]

変換後のアドレス。

[Global Port]

元のポート番号が変換されるポート番号(スタティック PAT 用)。

[Destination]

規則が適用される宛先ホストまたはネットワークのオブジェクト名および IP アドレス。

[Protocol]

規則が適用されるプロトコル。

[Service]

規則が適用されるサービス。

[Direction]

規則が適用されるトラフィックの方向([Inbound] または [Outbound])。

[DNS Rewrite]

DNS 書き換えオプションがイネーブルであるかどうか([Yes] または [No])。このオプションは、「[Advanced NAT Options] ダイアログボックス」で設定します。

[Maximum TCP Connections]

静的に変換された IP アドレスに接続できる TCP 接続の最大数。0 の場合、接続数は無制限です。このオプションは、「[Advanced NAT Options] ダイアログボックス」で設定します。

[Embryonic Limit]

セキュリティ アプライアンスが初期接続を拒否し始めるまでに確立が許可される初期接続の数。0 の場合、接続数は無制限です。正の数を入力すると、TCP 代行受信機能がイネーブルになります。

このオプションは、「[Advanced NAT Options] ダイアログボックス」で設定します。

[Maximum UDP Connections]

静的に変換された IP アドレスに接続できる UDP 接続の最大数。0 の場合、接続数は無制限です。このオプションは、「[Advanced NAT Options] ダイアログボックス」で設定します。

[Timeout]

PIX 6.x デバイスの場合、これはスタティック変換規則のタイムアウト値です。この値は、[Platform] > [Security] > [Timeouts] で指定したデフォルトの変換タイムアウトを上書きします。ここで 00:00:00 のタイムアウト値を指定すると、この規則と一致する変換では、[Platform] > [Security] > [Timeouts] で指定したデフォルトの変換タイムアウトが使用されます。

[Randomize Sequence Number]

セキュリティ アプライアンスが TCP パケットのシーケンス番号をランダム化するかどうか([Yes] または [No])。このオプションは「[Advanced NAT Options] ダイアログボックス」で設定します。デフォルトではイネーブルになります。

[Category]

規則が割り当てられるカテゴリ。カテゴリはラベルやカラーコーディングを使用して、規則およびオブジェクトを識別しやすくします。

カテゴリを定義および編集するには、[Tools] > [Policy Object Manager] > [Category] を選択します。詳細は「カテゴリ オブジェクトの使用」を参照してください。

(注) カテゴリ属性のコマンドは生成されません。

[Description]

規則の説明(指定してある場合)。

ASA 8.3+ デバイスでの NAT の設定

ここでは、バージョン 8.3 以降の ASA デバイスでネットワーク アドレス変換を設定する方法について説明します。

「[Translation Rules]:ASA 8.3+」

「[Add NAT Rule]/[Edit NAT Rule] ダイアログボックス」

「[Add Network/Host]/[Edit Network/Host] ダイアログボックス - [NAT] タブ」

他のセキュリティ アプライアンスでの NAT の設定については、「PIX、FWSM、および 8.3 よりも前の ASA デバイスでの NAT の設定」を参照してください。NAT 規則の一般的な情報、および ASA 8.3 で実装された NAT 設定の変更点については、「ASA 8.3+ デバイスでの「簡易」NAT について」を参照してください。

[Translation Rules]:ASA 8.3+

[Translation Rules] ページを使用して、選択した ASA 8.3+ デバイスの Network Address Translation(NAT; ネットワーク アドレス変換)規則を管理します。他のセキュリティ デバイスでの変換規則の設定については、「セキュリティ デバイスの NAT ポリシー」を参照してください。

このテーブルには 2 つのタイプの NAT 規則が表示されます。該当ユーザや別のユーザが追加した「手動」規則と、NAT プロパティを持つオブジェクトがデバイスに割り当てられている場合に Security Manager によって生成および適用される「自動」規則です。これらはそれぞれ「NAT 規則」および「ネットワーク オブジェクト NAT 規則」と呼ばれます。

[Translation Rules] テーブルの一部の機能

この [Translation Rules] テーブルは、「規則テーブルの使用」で示すような標準的な Security Manager の規則テーブルです。たとえば、カラムを移動、表示、または非表示にしたり、手動規則を再順序付けしたり、特定のテーブル セルを右クリックしてそのパラメータを編集したりできます。また、次の機能はこの [Translation Rules] テーブルに固有です。

すべての規則が、テーブル内にある事前定義済みの 3 つのセクションのいずれかに割り当てられます。

[NAT Rules Before]:これらは、該当ユーザまたは別のユーザがそのデバイスに「手動で」定義した規則です。 規則を追加する前にセクション見出しをクリックすることで、このセクションに規則が追加されることを指定できますが、セクションを指定しなかった場合にも、新しい規則はデフォルトでこのセクションに追加されます。

[Network Object NAT Rules]:これらは、NAT プロパティを含むネットワーク オブジェクトがデバイスに割り当てられている場合に、Security Manager によって自動的に生成され、順序付けされる規則です。NAT プロパティをオブジェクトに割り当てる方法については、「[Add Network/Host]/[Edit Network/Host] ダイアログボックス - [NAT] タブ」を参照してください。これらの規則を順序付けする方法については、「ASA 8.3+ デバイスでの「簡易」NAT について」のセクション「NAT テーブル」を参照してください。


) これらの規則はデバイス固有であるため、このセクションはポリシー ビューの [Translation Rules] テーブルには表示されません。


[NAT Rules After]:これらもまた、該当ユーザまたは別のユーザがそのデバイスに手動で定義した規則です。規則を追加する前にセクション見出しをクリックすることで、このセクションに規則が追加されることを指定できます。

このテーブルに一覧表示されている NAT 規則は最初に一致したものから順に処理されます。そのため、順序は重要です。規則はそのセクション内でしか再順序付けできないため、自動規則の前と後の両方で手動セクションを指定することによって、すべての規則が適切な順序になるように設定できます。各セクションの規則は、そのあとのセクションの規則に優先します。たとえば、一番上の「前」セクションの規則は、ネットワーク オブジェクト NAT セクションの規則に優先するというように続きます。

各規則のタイプ(スタティック、ダイナミック PAT、またはダイナミック NAT と PAT)は、[Translated] カラムの [Source] パラメータの次に青色で (S) (DP) 、または (DNP) を表示することによって、テーブル内で視覚的に示されます。

双方向規則は、実際にはペアになった 2 つの規則(指定した送信元の値と宛先の値の間で実行される発信変換と着信変換のそれぞれに 1 つずつ)で構成されるスタティック規則です。規則テーブルには、各双方向規則エントリが 2 行で表示されます。

たとえば、[Source] フィールドが [Host1] で [Translated] フィールドが [Host2] のスタティック規則を作成するときに [Bi-directional] を選択した場合、規則テーブルに 2 つの行が追加されます。1 つは Host1 を Host2 に変換する行、もう 1 つは Host2 を Host1 に変換する行です。

関連項目

「セキュリティ デバイスの NAT ポリシー」

「ASA 8.3+ デバイスでの「簡易」NAT について」

標準の規則テーブルに関する内容:

「規則テーブルの使用」

「テーブルのフィルタリング」

「テーブル カラムおよびカラム見出しの機能」

ナビゲーション パス

(デバイス ビュー)デバイス ポリシー セレクタから [NAT] > [Translation Rules] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [NAT (PIX/ASA/FWSM)] > [Translation Rules] を選択します。共有ポリシー セレクタから既存のポリシーを選択するか、または [Translation Rules] を右クリックして新しいポリシーを作成します。

[Translation Rules] ページが表示されます。ネットワーク オブジェクト NAT 規則はデバイス固有であるため、ポリシー ビューでは [Network Object NAT Rules] セクションが表示されないことに注意してください。

規則の追加、編集、および削除

NAT 規則を 追加 するには、次の手順を実行します。

1. 規則を追加するセクションの見出しを選択します。見出しを選択しなかった場合、規則はデフォルトで [NAT Rules Before] に追加されます。

2. [Add NAT Rule] ダイアログボックスを開きます。テーブルの下部にある [Add Row] ボタンをクリックするか、またはテーブル内の任意の場所(既存の規則エントリの上以外)を右クリックしてポップアップ メニューから [Add Row] を選択します。

3. 規則を定義してから [OK] をクリックしてダイアログボックスを閉じると、規則がテーブルに追加されます。

NAT 規則を 編集 するには、次の手順を実行します。

1. 目的の規則の [Edit NAT Rule] ダイアログボックスを開きます。NAT 規則テーブルで規則を選択してテーブルの下部にある [Edit Row] ボタンをクリックするか、または単に目的の規則エントリを右クリックしてポップアップ メニューから [Edit Row] を選択します。

2. 規則を編集してから [OK] をクリックしてダイアログボックスを閉じます。

[Add NAT Rule] ダイアログボックスの詳細な説明については、「[Add NAT Rule]/[Edit NAT Rule] ダイアログボックス」を参照してください。

NAT 規則を 削除 するには、テーブルで規則を選択してテーブルの下部にある [Delete Row] ボタンをクリックするか、または単に目的の規則エントリを右クリックしてポップアップ メニューから [Delete Row] を選択します。


) このテーブルからネットワーク オブジェクト NAT 規則を削除するには、関連する [Edit Network Host] ダイアログボックスで [Add Automatic Address Translation NAT Rule] オプションをオフにするか、または規則の割り当て先のデバイスを変更します。詳細については、「[Add Network/Host]/[Edit Network/Host] ダイアログボックス - [NAT] タブ」を参照してください。


規則のイネーブル化とディセーブル化

次のように、1 つ以上の連続する規則をテーブルから削除せずにディセーブルにできます。

1. ディセーブルにする規則を選択します。連続した規則のブロックを選択する場合は、ブロックの最初の規則をクリックしてから、ブロックの最後の規則を Shift を押した状態でクリックします。

2. 選択した規則を右クリックして、ポップアップ メニューから [Disable] を選択します。

テーブル内では、ディセーブルになっている規則が、規則エントリ全体に対する斜線の網掛けで示されます。

ディセーブルになっている 1 つ以上の連続する規則を再度イネーブルにするには、このプロセスを繰り返して、ポップアップ メニューから [Enable] を選択します。

[Add NAT Rule]/[Edit NAT Rule] ダイアログボックス

[Add NAT Rule] ダイアログボックスを使用して、選択した ASA 8.3+ デバイスに NAT 規則を追加します。このダイアログボックスは、以前のバージョンの ASA でも、PIX または FWSM デバイスでも使用できません。これらのデバイスで NAT 規則を追加および編集する方法については、「PIX、FWSM、および 8.3 よりも前の ASA デバイスでの NAT の設定」を参照してください。


) タイトルを除いて、[Add NAT Rule] ダイアログボックスと [Edit NAT Rule] ダイアログボックスは同一であり、次の説明は両方に適用されます。


ナビゲーション パス

規則を追加するには、規則を追加するセクション([NAT Rules Before]、[Network Object NAT Rules]、または [NAT Rules After])を選択してから、規則テーブルの下にある [Add Row] ボタンをクリックするか、またはテーブル内の任意の場所を右クリックし、[Add Row] を選択して [Add NAT Rule] ダイアログボックスを開きます。セクションを選択しなかった場合、新しい規則は [NAT Rules Before] セクションに追加されることに注意してください。

規則を編集するには、規則を選択して [Edit Row] ボタンをクリックするか、単に規則を右クリックし [Edit Row] コマンドを選択して、その規則の [Edit NAT Rule] ダイアログボックスを開きます。

関連項目

「ネットワーク アドレス変換の設定」

「[Translation Rules]:ASA 8.3+」

「[Add Network/Host]/[Edit Network/Host] ダイアログボックス - [NAT] タブ」

フィールド リファレンス

 

表 20-14 [Add NAT Rule]/[Edit NAT Rule] ダイアログボックス

要素
説明

[Type]

作成する変換規則のタイプ。

[Static]:実際のアドレスからマッピングされたアドレスへのスタティックな割り当てを提供します。

[Dynamic PAT (Hide)]:複数のローカル アドレスから単一のグローバル IP アドレスおよび一意のポート番号へのダイナミックな割り当てを提供し、実質的に、ローカル アドレスを 1 つのグローバル アドレスの背後に「隠します」。

[Dynamic NAT and PAT]:実際のアドレスからマッピングされたアドレス、および実際のポートからマッピングされたポートへのダイナミックな割り当てを提供します。

ルータ モードで稼動しているデバイスでは、このオプションによって次で説明するフォールスルー オプションも提供されます。

(注) このセクションは指定した送信元の変換にだけ適用されます。宛先の変換は常にスタティックになります。

[Original Source]

NAT 規則で変換される送信元アドレス。アドレス範囲またはネットワークの場合は、範囲またはネットワーク内のすべてのアドレスが変換されます。

[Address]

[Interface](スタティックおよびダイナミック PAT 規則にかぎり有効)

変換がデバイス上のアドレスまたはインターフェイスのどちらに基づくかを示します。いずれかを選択します。

[Address]:[Translated Source] フィールドで指定したネットワーク/ホスト オブジェクトを使用して、元のアドレスを変換します。

[Interface]:[Translated Source] フィールドで指定したインターフェイスに基づいて、元のアドレスを変換します。

[Interface] オプションは、タイプとして [Static] または [Dynamic PAT (Hide)] を選択している場合にだけ使用できます。

(注) これらのオプションは、トランスペアレント モードで動作しているデバイスでは使用できません。

[Translated Source]

上記で [Address] を選択した場合、このエントリは変換アドレスのプールを示します。目的のネットワーク/ホストを入力するか、または選択します。デフォルトは元の送信元アドレスです(アイデンティティ NAT 規則が作成されます)。

上記で [Interface] を選択した場合は、目的のインターフェイスを入力するか、または選択します。インターフェイス セレクタ リストには、デバイスに現在定義されているすべてのインターフェイスが含まれています。このインターフェイスに基づくポート アドレス変換については、必ず(このダイアログボックスの [Advanced] パネルにある)[Service Translation] セクションでオプションを設定してください。

[Interface] フィールドを空白のままにすると、[Address] と [Interface] の選択は [Address] に戻り、元の送信元アドレスが [Address] フィールドに挿入されます。これにより、アイデンティティ NAT 規則が作成されます。つまり、指定したアドレスはそれ自身に変換されます(事実上、変換されません)。アイデンティティ NAT はアウトバウンド接続だけに適用されます。

[Advanced]

[Advanced] ヘッダーをクリックすると、ダイアログボックスが展開し、次の高度なオプションが表示されます。ヘッダーをもう一度クリックすると、[Advanced] パネルが非表示になります。

[Destination Translation]

宛先アドレスの任意のスタティック変換を設定するには、[Advanced] パネルのこのセクションのオプションを使用します。

[Original Destination]:このフィールドで指定したネットワーク/ホスト オブジェクトで定義されている元の宛先アドレスを変換します。

[Address] または [Interface]:[Translated Destination] フィールドで指定したネットワーク/ホスト オブジェクトを使用して元の宛先アドレスを変換するには、[Address] を選択します。[Translated Destination] フィールドで指定したインターフェイスを使用して元の宛先アドレスを変換するには、[Interface] を選択します。

(注) これらのオプションは、トランスペアレント モードで動作しているデバイスでは使用できません。

[Translated Destination]:[Address] を選択した場合、このエントリは宛先アドレスのプールを示します。目的のネットワーク/ホスト オブジェクトを入力するか、または選択します。[Interface] を選択した場合は、目的のインターフェイスを入力するか、または選択します。インターフェイス セレクタ リストには、デバイスに現在定義されているすべてのインターフェイスが含まれています。

(注) 定義すると、規則のタイプに関係なく、宛先変換は常にスタティックになります。

[Service Translation]

ポート アドレス変換を設定するには、[Advanced] パネルのこのセクションのオプションを使用します。

[Original Service]:変換対象のサービスが定義されているサービス オブジェクトを入力するか、または選択します。

[Translated Service]:変換に使用されるサービスを示すサービス オブジェクトを入力するか、または選択します。

任意のサービスから、指定した変換後のサービスへの変換を設定するには、[Original Service] フィールドを空白のままにします。

(注) 両方のサービス オブジェクトに指定されているプロトコルが同じである必要があります。

これらのサービス オブジェクトは、サービス プロトコル(TCP または UDP)と 1 つ以上のポートを示します。元のポートから変換後のポートへのマッピングは循環されます。つまり、最初の元の値が最初の変換後の値にマッピングされ、2 番目の元の値が 2 番目の変換後の値にマッピングされるというように、元の値がすべて変換されるまで続きます。その時点までに変換後のポートのプールが枯渇してしまった場合、マッピングは、最初の変換後の値を再使用して続行されます。サービス オブジェクトの設定の詳細については、「サービスとサービス オブジェクトおよびポート リスト オブジェクトの理解と指定」を参照してください。

オプションは、同時には使用できません。

[Interface Translation]

インターフェイスの変換オプションを設定するには、[Advanced] パネルのこのセクションのオプションを使用します。

[Translate DNS replies that match this rule]:オンにすると、この規則と一致する DNS 応答内の埋め込みアドレスが書き換えられます。

マッピングされたインターフェイスから実際のインターフェイスへの DNS 応答の場合、Address(または「A」)レコードはマッピングされた値から実際の値に書き換えられます。反対に、実際のインターフェイスからマッピングされたインターフェイスへの DNS 応答の場合、A レコードは実際の値からマッピングされた値に書き換えられます。この機能をサポートするには、DNS 検査をイネーブルにする必要があります。

[Source Interface]:パケットが発信されるインターフェイスの名前。これは「実際の」インターフェイスです。デフォルトは、すべてのインターフェイスを表す [any] です。目的のインターフェイスを入力するか、または選択します。

[Destination Interface]:パケットが到着するインターフェイスの名前。これは「マッピングされた」インターフェイスです。デフォルトは、すべてのインターフェイスを表す [any] です。目的のインターフェイスを入力するか、または選択します。

[Fallthrough to Interface PAT](宛先インターフェイス):オンにすると、ダイナミック PAT のバックアップがイネーブルになります。ダイナミック NAT アドレスのプールが枯渇すると、[Use Address] フィールドで指定されたアドレス プールを使用して、ポート アドレス変換が実行されます。このオプションは、ルータ モードで稼動しているデバイスで、タイプとして [Dynamic NAT and PAT] を選択している場合にだけ使用できます。

[Others]

他の NAT 規則オプションを設定するには、[Advanced] パネルのこのセクションのオプションを使用します。

[Direction]:この機能を使用すると、単一方向だけのスタティック NAT 規則か、または両方向(順方向と逆方向)に 1 つずつの 2 つの規則を設定できます。次のいずれかを選択します。

[Uni-directional]:このダイアログボックスの他のオプションの指定に従って、単一のスタティック NAT が作成されます。ダイナミック規則は、デフォルトでは単一方向です。

[Bi-directional]:このダイアログボックスの他のオプションの指定に従って、両方向の変換を含む 2 つのリンクされたスタティック NAT 規則が作成されます。規則テーブルでは、各双方向規則エントリが 2 行で構成されることに注意してください。

このオプションは、スタティック規則でだけ使用できます。

[Description]:(任意)規則の説明を入力します。

[Category]:(任意)規則に割り当てるカテゴリを選択します。カテゴリを使用すると、規則とオブジェクトを分類および識別できます。詳細については、「カテゴリ オブジェクトの使用」を参照してください。

[Add Network/Host]/[Edit Network/Host] ダイアログボックス - [NAT] タブ

ホスト、ネットワーク、またはアドレス範囲オブジェクトの追加または編集に使用するダイアログボックスのいずれかの [NAT] タブを使用して、オブジェクト NAT 規則を作成または更新します。この NAT 設定は、ASA 8.3+ デバイスでだけ使用されます。他のタイプのデバイスでこのオブジェクトを使用した場合、NAT 設定は無視されます。

NAT 設定は、デバイスのオーバーライドとして作成され、グローバル オブジェクトには保持されません。そのため、これらの NAT オプションを設定する場合は、[Allow Value Override per Device] オプションを選択する必要があります(このオプションはダイアログボックスを閉じたときに、自動的に選択されます)。

この項では、[NAT] タブのフィールドについて説明します。[General] タブのフィールドの詳細については、「[Add Network/Host]/[Edit Network/Host] ダイアログボックス」を参照してください。

ナビゲーション パス

ホスト、ネットワーク、またはアドレス範囲オブジェクトの作成時か編集時に、 [Add Network/Host]/[Edit Network/Host] ダイアログボックスの [NAT] タブを選択します。

関連項目

「ネットワーク アドレス変換の設定」

「ネットワーク/ホスト オブジェクトの作成」

「ネットワーク/ホスト オブジェクトについて」

「ポリシー定義中の IP アドレスの指定」

「[Policy Object Manager] ウィンドウ」

フィールド リファレンス

 

表 20-15 [Add Network/Host]/[Edit Network/Host] ダイアログボックスの [NAT] タブ

要素
説明

[Add Automatic Address Translation NAT Rule]

オンにすると、Network Address Translation(NAT; ネットワーク アドレス変換)規則が、ここでの定義に従って、[Translated By] フィールドで指定したデバイスに適用されます。規則は、そのデバイスの [Translation Rules] テーブルの [Network Object NAT Rule] セクションに表示されます(「[Translation Rules]:ASA 8.3+」を参照)。

[Translated By]

NAT 規則を設定するデバイス。[Select] をクリックして、リストからデバイスを選択します。リストは、ASA 8.3+ デバイスだけを表示するようにフィルタリングされています。

[Original value]

このダイアログボックスの [General] タブで設定したアドレスが表示されます。これは、NAT 規則で変換する送信元アドレスです。アドレス範囲またはネットワークの場合は、範囲またはネットワーク内のすべてのアドレスが変換されます。

[Type]

作成する変換規則のタイプ。

[Static]:実際のアドレスからマッピングされたアドレスへのスタティックな割り当てをイネーブルにします。

[PAT (Hide)]:複数のローカル アドレスから単一のグローバル IP アドレスおよび一意のポート番号へのダイナミックな割り当てをイネーブルにします。

[Dynamic NAT and PAT]:実際のアドレスからマッピングされたアドレス、および実際のポートからマッピングされたポートへのダイナミックな割り当てをイネーブルにします。

[Use Address]

[Use Interface](スタティックおよび PAT にかぎり有効)

変換がデバイス上のアドレスまたはインターフェイスのどちらに基づくかを示します。

[Use Address]:指定したアドレスまたはネットワーク/ホスト オブジェクトを使用して、元のアドレスを変換します。[Address] フィールドにアドレスまたはオブジェクト名を入力するか、または [Select] をクリックしてリストからオブジェクトを選択します。

[Use Interface]:指定したインターフェイスに基づいて元のアドレスを変換します。[Interface] リストには、選択したデバイスに現在定義されているすべてのインターフェイスが含まれています。目的のインターフェイスを選択します。

[Interface] フィールドを空白のままにすると、このオブジェクトが挿入され、アイデンティティ NAT 規則が作成されます。つまり、指定したアドレスはそれ自身に変換されます(事実上、変換されません)。アイデンティティ NAT はアウトバウンド接続だけに適用されます。

(注) [Use Interface] オプションは、タイプとして [Static] または [PAT (Hide)] を選択している場合にだけ使用できます。

[Advanced]

[Advanced] ヘッダーをクリックすると、ダイアログボックスが展開し、次の高度なオプションが表示されます。ヘッダーをもう一度クリックすると、[Advanced] パネルが非表示になります。

[Translate DNS replies for rule]

オンにすると、この規則と一致する DNS 応答内の Address(または「A」)レコードが書き換えられます。

マッピングされたインターフェイスから実際のインターフェイスへの DNS 応答の場合、A レコードはマッピングされた値から実際の値に書き換えられます。反対に、実際のインターフェイスからマッピングされたインターフェイスへの DNS 応答の場合、A レコードは実際の値からマッピングされた値に書き換えられます。この機能をサポートするには、DNS 検査をイネーブルにする必要があります。

(注) このオプションと [Service Translation](下記を参照)は、同時には使用できません。

[Interfaces]

インターフェイスの変換オプションを設定するには、[Advanced] パネルのこのセクションのオプションを使用します。

[Source Interface]:パケットが発信されるインターフェイスの名前。これは「実際の」インターフェイスです。デフォルトは、すべてのインターフェイスを表す [any] です。

[Destination Interface]:パケットが到着するインターフェイスの名前。これは「マッピングされた」インターフェイスです。デフォルトは、すべてのインターフェイスを表す [any] です。

[Fallthrough to Interface](宛先インターフェイス):オンにすると、ダイナミック PAT のバックアップがイネーブルになります。ダイナミック NAT アドレスのプールが枯渇すると、[Use Address] フィールドで指定されたアドレス プールを使用して、ポート アドレス変換が実行されます。このオプションは、タイプとして [Dynamic NAT] を選択している場合にだけ使用できます。

[Service Translation]

(スタティック規則にかぎり有効)

スタティック ポート アドレス変換を設定するには、[Advanced] パネルのこのセクションのオプションを使用します。

[Protocol]:TCP ポートまたは UDP ポートのいずれか。

[Original Port]:トラフィックがデバイスに着信するポート。

[Translated Port]:元のポート番号に置き換わるポート番号。

オプションは、同時には使用できません。