|
◆ NATの設定 - Source NAT
1. NATプールの設定 ( Poolアドレスを使用する場合 )
set security nat source pool pool-name address address/prefix
設定例 : プール名「S-POOL1」にプールアドレスとして「10.1.1.10/32」を設定
| # set security nat source pool S-POOL1 address 10.1.1.10/32 |
2. Source NATルールの適用方向の設定
set security nat source rule-set ruleset-name from zone zone
set security nat source rule-set ruleset-name to zone zone
設定例 : ゾーン「TRUST」から、ゾーン「UNTRUST」へのトラフィックにNATを適用
# set security nat source rule-set S-RULE1 from zone TRUST
# set security nat source rule-set S-RULE1 to zone UNTRUST
|
3. NAT変換前の送信元アドレスとNAT変換後のアドレスの指定
set security nat source rule-set ruleset-name rule rule-name match source-address address/prefix
set security nat source rule-set ruleset-name rule rule-name then source-nat pool pool-name
設定例 : 送信元アドレス「192.168.10.0/24」に合致した場合、送信元アドレスを「S-POOL1」のプールアドレスに変換
# set security nat source rule-set S-RULE1 rule R1 match source-address 192.168.10.0/24
# set security nat source rule-set S-RULE1 rule R1 then source-nat pool S-POOL1
|
プールアドレスではなくEgress I/Fを使用したい場合、source-nat pool S-POOL1ではなく「source-nat interface」と指定。
4. Proxy-ARPの設定 ( 設定が必要な場合 )
set security nat proxy-arp interface interface address address/prefix
設定例 : I/FのIPアドレス以外のARPを返すように「10.1.1.10/32」のProxyARPをインターフェース「fe-0/0/0.0」に設定
| # set security nat proxy-arp interface fe-0/0/0.0 address 10.1.1.10/32 |
◆ NATの設定 - Static NAT
1. どのゾーンからのトラフィックに適用するか定義
set security nat static rule-set ruleset-name from zone zone
設定例 : ゾーン「UNTRUST」からのトラフィックに適用
| # set security nat static rule-set ST-RULE1 from zone UNTRUST |
2. NAT変換前の宛先アドレスとNAT変換後の宛先アドレスの指定
set security nat static rule-set ruleset-name rule rule-name match destination-address address/prefix
set security nat static rule-set ruleset-name rule rule-name then static-nat prefix address/prefix
設定例 : 宛先アドレス「10.1.1.20」のトラフィックに合致した場合、宛先アドレスを「192.168.10.20」に変換
# set security nat static rule-set ST-RULE1 rule R1 match destination-address
10.1.1.20/32
# set security nat static rule-set ST-RULE1 rule R1 then static-nat prefix
192.168.10.20/32
|
3. Proxy-ARPの設定 ( 設定が必要な場合 )
set security nat proxy-arp interface interface address address/prefix
設定例 : 物理I/FのIPアドレス以外のARPを返すよう「10.1.1.20/32」のProxyARPをインターフェース fe-0/0/0.0
に設定
| # set security nat proxy-arp interface fe-0/0/0.0 address 10.1.1.20/32 |
◆ NATの設定 - Destination NAT ( 1対1の場合)
1. NATプールの設定 ( 宛先アドレスのプール作成 )
set security nat destination pool pool-name address address/prefix
設定例 : プール名「D-POOL1」に、プールアドレスとして「192.168.10.30/32」を設定
| # set security nat destination pool D-POOL1 address 192.168.10.30/32 |
2. どのゾーンからのトラフィックに適用するか定義
set security nat destinationrule-set ruleset-name from zone zone
設定例 : ゾーン「UNTRUST」からのトラフィックに適用
| # set security nat destination rule-set D-RULE1 from zone UNTRUST |
3. NAT変換前の宛先アドレスとNAT変換後の宛先アドレスの指定
set security nat static rule-set ruleset-name rule rule-name match destination-address address
set security nat destination rule-set ruleset-name rule name then destination-nat pool pool-name
設定例 : 宛先アドレス「10.1.1.20」のトラフィックに合致した場合、宛先アドレスを「192.168.10.20」に変換
# set security nat destination rule-set D-RULE1 rule R1 match destination-address
10.1.1.30/32
# set security nat destination rule-set D-RULE1 rule R1 then destination-nat
pool D-POOL1
|
4. Proxy-ARPの設定 ( 設定が必要な場合 )
set security nat proxy-arp interface interface address address
設定例 : I/FのIPアドレス以外のARPを返すよう「10.1.1.20/32」のProxyARPをインターフェース「fe-0/0/0.0」に設定
| # set security nat proxy-arp interface fe-0/0/0.0 address 10.1.1.30/32 |
|