【Paloalto PA-Series】Source-NAT, Destination-NATを利用する場合のPolicy

題名にあるPaloalto PA-SeriesのPA-410/PA-220にて、Source-NAT, Destination-NATを利用する場合のPolicyを作成する機会がありました。

設計背景

Source-NAT, Destination-NATを併用する設定が必要となるケースを考えると、下記の"構成図_1”のように、「LAN側の監視用端末からWAN側にあるIPアドレスへの疎通を監視することでWAN回線の死活状態を確認したい」といった要件に対応する場合が考えられます。

実際には、LAN側のルーティング設計におけるユーザ側の制約のため、Global-IPの経路情報をLAN内に設定することが不可であったため、下図のように設計することになりました。

 

構成図_1

PA-SeriesにおけるPolicy設定例

この場合のPolicy設定ですが、GUIで設定する場合は次のようになります。

  • 送信元ゾーン : Trust
  • 送信元アドレス : Private-IP_1
  • 宛先ゾーン : Untrust
  • 宛先アドレス : Private-IP_2

比較対象として、NATを利用しない場合だと次のようになります。

  • 送信元ゾーン : Trust
  • 送信元アドレス : Private-IP_1
  • 宛先ゾーン : Untrust
  • 宛先アドレス : Global-IP_2

送信元ゾーン、宛先ゾーンは通常のPolicyと同じですが、送信元アドレスと宛先アドレスはどちらもNAT変換前のアドレスとなります。比較対象にあるようにNATを利用しない場合、宛先アドレスは宛先ゾーン側やその先にあるNWのIPアドレスで指定することになります。

留意点

今回のようなPolicy設定を設計する、または設計情報から読む場合の留意点です。

NAT変換前のアドレスは、一般的には送信元ゾーン側にあるNWのアドレスを使うことになるため、宛先ゾーンと宛先アドレスの組み合わせが普段と異なる形になります。

また、Source-NAT, Destination-NATは1つのRule中に一緒に設定することもできます。各種NATとPolicyの処理順を意識して設計をしていく必要があるということですね。

執筆担当者プロフィール
廣瀬 翔也

廣瀬 翔也(日本ビジネスシステムズ株式会社)

クラウドソリューション事業本部 セキュリティ&ネットワークインテグレーション2部 所属 主な業務経験範囲はネットワーク分野。 備忘録も兼ねて”ユーザ要望を実現するためのコンフィグ設計例”を掲載していく予定です。

担当記事一覧