Cisco Meraki Japan

アカウントをお持ちの場合

  •   パーソナライズされたコンテンツ
  •   製品とサポート

アカウントをお持ちでない場合

アカウントを作成

ファイアウォールの背後にあるサーバは多くの場合、インターネットからアクセスできる必要があります。 これを実現するには、ポート フォワーディング1 対 1 の NAT(ネットワーク アドレス変換)、または 1 対多の NAT を MX セキュリティ アプライアンスに実装します。 この記事では、これらを設定するのが適している状況と、それぞれの制限事項について説明します。

ポート フォワーディング

ポート フォワーディングでは、特定の TCP または UDP ポートの宛先を MX セキュリティ アプライアンスのインターネット インターフェイスに設定して、特定の内部 IP にそれらのポートを転送します。 これは、パブリック IP アドレスのプールを所有していないユーザに最適です。 この機能では、各ポートをそれぞれ異なる内部 IP アドレスに転送できるため、同じパブリック IP アドレスから複数のサーバへのアクセスが可能になります。  

Port-Forwarding.png

port-forwarding-behavior.png
 

注:1 つの TCP または UDP ポートを複数の LAN デバイスに転送することはできません。

 

1 対 1 の NAT

1 対 1 の NAT は、複数のパブリック IP アドレスを使用できるユーザや、ファイアウォールの背後に複数のサーバ(2 台の Web サーバと 2 台のメール サーバなど)があるネットワークに適しています。 1 対 1 の NAT マッピングの設定には、MX セキュリティ アプライアンスに属していない IP アドレスを使用する必要があります。また、ISP がサブネットのトラフィックを MX インターフェイスにルーティングする場合は、WAN インターフェイスのアドレスとは異なるサブネット内のパブリック IP アドレスを変換できます。 追加される各変換は 1 対 1 のルールです。つまり、パブリック IP アドレスを宛先とするトラフィックは、1 つの内部 IP アドレスにのみ転送可能です。ユーザは各変換において、内部 IP に転送するポートを指定できます。 

clipboard_e92e57d85e6174f99fca029c8e17f5cfa.png

1-1 NAT diagram.png

1 対多の NAT

1 対多の NAT を設定すると、MX は、設定されているパブリック IP から内部サーバにトラフィックを転送できます。ただし、1 対多の NAT は 1 対 1 の NAT ルールとは異なり、ポートごとに 1 つのパブリック IP を複数の内部 IP に変換できます。1 対多の NAT の各 IP の定義では、1 つのパブリック IP を指定する必要があります。こうすることで、複数のポート フォワーディング ルールを設定して、ポートごとに LAN 上の異なるデバイスにトラフィックを転送できます。1 対多の NAT の定義では、1 対 1 の NAT と同様、MX に属している IP アドレスは使用できません。

トラブルシューティング

ポートフォワーディングと NAT ルールに関する問題のトラブルシューティングの詳細については、こちらの記事を参照してください。