作業環境
- 型番:SRX100H2
- バージョン:12.1X44-D45
ScreenOS での各 NAT タイプとの対応
| ScreenOS | SRX (Junos OS) |
| DIP (Src-NAT) | Source NAT(アドレスプール使用) |
| Interface NAT | Source NAT |
| MIP | Static NAT |
| VIP | Destination NAT |
| DIP (Dst-NAT) | Destination NAT |
NAT の種類
- Source NAT
- インターフェースベース NAT
- プールベース NAT
- ポート番号変換 有/無
- Destination NAT
- プールベース NAT
- ポート番号変換 有/無
- プールベース NAT
- Static NAT
- 1:1 アドレスマッピング
NAT 適用のプロセス
- Static / destination NATは、セキュリティポリシー適用の前に実施
- source NATは、セキュリティポリシー適用後に実施
- パケットが合致する NAT ルールは以下の順で決定
- 合致する NAT ルールセットの判定
- NAT ルールセット内で合致するルールの判定
- ルールセット中のルールは設定した順番に評価される
NAT 設定例
Soruce NAT
- ルールセット名:trust-to-untrust
- from zoen:trust
- to zone:untrust
- ルール名:source-nat-rule
- 合致条件:送信元が 0.0.0.0/0
- アクション:出力インターフェースの IP に変換
set security nat source rule-set trust-to-untrust from zone trust
set security nat source rule-set trust-to-untrust to zone untrust
set security nat source rule-set trust-to-untrust rule source-nat-rule match source-address 0.0.0.0/0
set security nat source rule-set trust-to-untrust rule source-nat-rule then source-nat interfaceDestination NAT
- IP プール名:p1
- アドレス:10.1.10.1/32
- ルールセット名:hoge
- from zoen:trust
- ルール名:piyo
- 合致条件:宛先が 192.168.1.200/32
- アクション:IP プール p1 の IP に変換
set security nat destination pool p1 address 10.1.10.1/32
set security nat destination rule-set hoge from zone trust
set security nat destination rule-set hoge rule piyo match destination-address 192.168.1.200/32
set security nat destination rule-set hoge rule piyo then destination-nat pool p1Static NAT
- ルールセット名:nat1
- from zoen:trust
- ルール名:r1
- 合致条件:宛先が 192.168.1.200/32
- アクション:192.168.1.200/32 を 10.1.10.1/32 に変換
set security nat static rule-set nat1 from zone trust
set security nat static rule-set nat1 rule r1 match destination-address 192.168.1.200/32
set security nat static rule-set nat1 rule r1 then static-nat prefix 10.1.10.1/32NAT のルールセットの設定
NAT を設定する場合は NAT のルールセットを設定します。
ルールセットを構成する設定項目は以下の通りです。
- NAT タイプ
- source
- destination
- static
- ルールセット名
- from 条件(インターフェース、ゾーン、ルーティングインスタンス)
- to 条件(Static NAT のみ)
- NAT ルール
- NAT ルール名
- 合致条件
- アクション(NAT 内容)
from / to 条件の設定
set security nat "NATタイプ" rule-set "ルールセット名" from zone "ゾーン名"
set security nat "NATタイプ" rule-set "ルールセット名" from interface "IF名"
set security nat "NATタイプ" rule-set "ルールセット名" from routing-instance "ルーティングインスタンス名"set security nat "NATタイプ" rule-set "ルールセット名" to zone "ゾーン名"
set security nat "NATタイプ" rule-set "ルールセット名" to interface "IF名"
set security nat"NATタイプ" rule-set "ルールセット名" to routing-instance "ルーティングインスタンス名"
from / to 条件によってパケットが合致するルールセットが判定されますが、複数のルールセットに合致する場合は、条件の種類によって以下の様に優先順位付けされます。
- インターフェース
- ゾーン
- ルーティングインスタンス
NAT ルールの設定
合致条件の設定
set security nat "NATタイプ" rule-set "ルールセット名" rule "ルール名" match "項目" "値"
NAT タイプによって設定できる項目が一部異なります。
| 項目\NATタイプ | source | destination | static | 備考 |
source-address | OK | OK | NG | 送信元アドレス |
source-address-name | OK | OK | NG | 送信元アドレス名 |
destination-address | OK | OK | OK | 宛先アドレス |
destination-address-name | OK | OK | OK | 宛先アドレス名 |
protocol | OK | OK | OK | プロトコル |
アクション(NAT 内容)の設定
set security nat "NATタイプ" rule-set "ルールセット名" rule "ルール名" then "項目" "値"
NAT タイプによって設定できる項目が異なります。
| 項目\NATタイプ | source | destination | static | 備考 |
source-nat interface | OK | NG | NG | 出力インターフェースの IP へ変換 ※上の設定構文の “値” 部分は無し |
source-nat pool | OK | NG | NG | 指定 IP プールの IP へ変換 |
destination-nat pool | NG | OK | NG | 指定 IP プールの IP へ変換 |
static-nat prefix | NG | NG | OK | 指定の IP へ変換 |
static-nat prefix-name | NG | NG | OK | 指定のアドレス名の IP へ変換 |
IP プールの設定
source NAT または destination NAT で使用する IP プールの設定です。
set security nat "NATタイプ" pool "プール名" address "x.x.x.x/32" [to "y.y.y.y/32"] [port "n"]
- NAT タイプとして source または destination を指定した場合のみプールの設定が可能です
- 範囲指定する場合は
to "y.y.y.y/32"を指定します - ポート番号を指定する場合は
port "n"を指定します
NAT されたセッションの確認コマンド
show security flow session nat
admin@SRX> show security flow session nat
Session ID: 9560, Policy name: trust-to-untrust/4, Timeout: 2, Valid
In: 192.168.1.2/7625 --> 192.168.1.200/1;icmp, If: fe-0/0/7.0, Pkts: 1, Bytes: 60
Out: 10.1.10.1/1 --> 10.1.10.10/2630;icmp, If: fe-0/0/0.0, Pkts: 1, Bytes: 60
Session ID: 9561, Policy name: trust-to-untrust/4, Timeout: 4, Valid
In: 192.168.1.2/7626 --> 192.168.1.200/1;icmp, If: fe-0/0/7.0, Pkts: 1, Bytes: 60
Out: 10.1.10.1/1 --> 10.1.10.10/25871;icmp, If: fe-0/0/0.0, Pkts: 1, Bytes: 60
Session ID: 9562, Policy name: trust-to-untrust/4, Timeout: 4, Valid
In: 192.168.1.2/7628 --> 192.168.1.200/1;icmp, If: fe-0/0/7.0, Pkts: 1, Bytes: 60
Out: 10.1.10.1/1 --> 10.1.10.10/32214;icmp, If: fe-0/0/0.0, Pkts: 1, Bytes: 60
Total sessions: 3参考資料
https://www.juniper.net/assets/jp/jp/local/pdf/others/nat.pdf
https://www.juniper.net/assets/jp/jp/local/pdf/additional-resources/destination-nat.pdf
―――――――――――――
