Juniper SRX 各種 NAT の設定

ファイアウォール(UTM)

作業環境

  • 型番:SRX100H2
  • バージョン:12.1X44-D45

ScreenOS での各 NAT タイプとの対応

ScreenOSSRX (Junos OS)
DIP (Src-NAT)Source NAT(アドレスプール使用)
Interface NATSource NAT
MIPStatic NAT
VIPDestination NAT
DIP (Dst-NAT)Destination NAT

NAT の種類

  • Source NAT
    1. インターフェースベース NAT
    2. プールベース NAT
      • ポート番号変換 有/無
  • Destination NAT
    1. プールベース NAT
      • ポート番号変換 有/無
  • Static NAT
    1. 1:1 アドレスマッピング

NAT 適用のプロセス

  • Static / destination NATは、セキュリティポリシー適用の前に実施
  • source NATは、セキュリティポリシー適用後に実施
  • パケットが合致する NAT ルールは以下の順で決定
    1. 合致する NAT ルールセットの判定
    2. NAT ルールセット内で合致するルールの判定
      • ルールセット中のルールは設定した順番に評価される

NAT 設定例

Soruce NAT

  • ルールセット名:trust-to-untrust
  • from zoen:trust
  • to zone:untrust
  • ルール名:source-nat-rule
    • 合致条件:送信元が 0.0.0.0/0
    • アクション:出力インターフェースの IP に変換
set security nat source rule-set trust-to-untrust from zone trust
set security nat source rule-set trust-to-untrust to zone untrust
set security nat source rule-set trust-to-untrust rule source-nat-rule match source-address 0.0.0.0/0
set security nat source rule-set trust-to-untrust rule source-nat-rule then source-nat interface

Destination NAT

  • IP プール名:p1
    • アドレス:10.1.10.1/32
  • ルールセット名:hoge
  • from zoen:trust
  • ルール名:piyo
    • 合致条件:宛先が 192.168.1.200/32
    • アクション:IP プール p1 の IP に変換
set security nat destination pool p1 address 10.1.10.1/32
set security nat destination rule-set hoge from zone trust
set security nat destination rule-set hoge rule piyo match destination-address 192.168.1.200/32
set security nat destination rule-set hoge rule piyo then destination-nat pool p1

Static NAT

  • ルールセット名:nat1
  • from zoen:trust
  • ルール名:r1
    • 合致条件:宛先が 192.168.1.200/32
    • アクション:192.168.1.200/32 を 10.1.10.1/32 に変換
set security nat static rule-set nat1 from zone trust
set security nat static rule-set nat1 rule r1 match destination-address 192.168.1.200/32
set security nat static rule-set nat1 rule r1 then static-nat prefix 10.1.10.1/32

NAT のルールセットの設定

NAT を設定する場合は NAT のルールセットを設定します。

ルールセットを構成する設定項目は以下の通りです。

  • NAT タイプ
    • source
    • destination
    • static
  • ルールセット名
  • from 条件(インターフェース、ゾーン、ルーティングインスタンス)
  • to 条件(Static NAT のみ)
  • NAT ルール
    • NAT ルール名
    • 合致条件
    • アクション(NAT 内容)

from / to 条件の設定

set security nat "NATタイプ" rule-set "ルールセット名" from zone "ゾーン名"
set security nat "NATタイプ" rule-set "ルールセット名" from interface "IF名"
set security nat "NATタイプ" rule-set "ルールセット名" from routing-instance "ルーティングインスタンス名"
set security nat "NATタイプ" rule-set "ルールセット名" to zone "ゾーン名"
set security nat "NATタイプ" rule-set "ルールセット名" to interface "IF名"
set security nat"NATタイプ" rule-set "ルールセット名" to routing-instance "ルーティングインスタンス名"

from / to 条件によってパケットが合致するルールセットが判定されますが、複数のルールセットに合致する場合は、条件の種類によって以下の様に優先順位付けされます。

  1. インターフェース
  2. ゾーン
  3. ルーティングインスタンス

NAT ルールの設定

合致条件の設定

set security nat "NATタイプ" rule-set "ルールセット名" rule "ルール名" match "項目" "値"

NAT タイプによって設定できる項目が一部異なります。

項目\NATタイプsourcedestinationstatic備考
source-addressOKOKNG送信元アドレス
source-address-nameOKOKNG送信元アドレス名
destination-addressOKOKOK宛先アドレス
destination-address-nameOKOKOK宛先アドレス名
protocolOKOKOKプロトコル

アクション(NAT 内容)の設定

set security nat "NATタイプ" rule-set "ルールセット名" rule "ルール名" then "項目" "値"

NAT タイプによって設定できる項目が異なります。

項目\NATタイプsourcedestinationstatic備考
source-nat interfaceOKNGNG出力インターフェースの IP へ変換
※上の設定構文の “値” 部分は無し
source-nat poolOKNGNG指定 IP プールの IP へ変換
destination-nat poolNGOKNG指定 IP プールの IP へ変換
static-nat prefixNGNGOK指定の IP へ変換
static-nat prefix-nameNGNGOK指定のアドレス名の IP へ変換

IP プールの設定

source NAT または destination NAT で使用する IP プールの設定です。

set security nat "NATタイプ" pool "プール名" address "x.x.x.x/32" [to "y.y.y.y/32"] [port "n"]

  • NAT タイプとして source または destination を指定した場合のみプールの設定が可能です
  • 範囲指定する場合は to "y.y.y.y/32" を指定します
  • ポート番号を指定する場合は port "n" を指定します

NAT されたセッションの確認コマンド

  • show security flow session nat
admin@SRX> show security flow session nat
Session ID: 9560, Policy name: trust-to-untrust/4, Timeout: 2, Valid
  In: 192.168.1.2/7625 --> 192.168.1.200/1;icmp, If: fe-0/0/7.0, Pkts: 1, Bytes: 60
  Out: 10.1.10.1/1 --> 10.1.10.10/2630;icmp, If: fe-0/0/0.0, Pkts: 1, Bytes: 60

Session ID: 9561, Policy name: trust-to-untrust/4, Timeout: 4, Valid
  In: 192.168.1.2/7626 --> 192.168.1.200/1;icmp, If: fe-0/0/7.0, Pkts: 1, Bytes: 60
  Out: 10.1.10.1/1 --> 10.1.10.10/25871;icmp, If: fe-0/0/0.0, Pkts: 1, Bytes: 60

Session ID: 9562, Policy name: trust-to-untrust/4, Timeout: 4, Valid
  In: 192.168.1.2/7628 --> 192.168.1.200/1;icmp, If: fe-0/0/7.0, Pkts: 1, Bytes: 60
  Out: 10.1.10.1/1 --> 10.1.10.10/32214;icmp, If: fe-0/0/0.0, Pkts: 1, Bytes: 60
Total sessions: 3

参考資料

https://www.juniper.net/assets/jp/jp/local/pdf/others/nat.pdf

https://www.juniper.net/assets/jp/jp/local/pdf/additional-resources/destination-nat.pdf

―――――――――――――

タイトルとURLをコピーしました