1. FutureNet製品活用ガイド
  2. FutureNet NXR,VXRシリーズ
  3. NAT・フィルタ編

FutureNet

NXR,VXRシリーズ

NAT・フィルタ編

2. NAT設定

2-4. 通信別NAT設定

ここでは通信別にNATの設定例を紹介します。

 

宛先IPアドレスを変換する(DNATの利用)

 

送信元IPアドレスを変換する(SNATの利用)

 

【 設定例 】

〔宛先IPアドレスを変換する(DNATの利用)〕

ルータで受信したパケットの宛先IPアドレスを変換する場合、パケット受信インタフェースにおいて「ip dnat-group」コマンドでDNATルール名を登録する必要があります。

 

<HTTPサーバを外部に公開する>
(config)#ip dnat [DNATルール名] tcp [送信元IPアドレス] [送信元ポート番号] [ルータのIPアドレス] 80 [LAN内のHTTPサーバのIPアドレス]
(config)#interface [WAN側インタフェース]
(config-if)#ip dnat-group [DNATルール名]

全ての送信元IPアドレス,送信元ポート番号を許可する場合は、[送信元IPアドレス],[送信元ポート番号]に「any」を設定します。
ルータのIPアドレスが動的IPアドレスの場合やNXR-G100/WMを利用している場合は、[ルータのIPアドレス]に「any」を設定します。
(☞) フィルタを合わせて設定する場合、設定例はこちら

 

<HTTPサーバを外部に公開する(公開用ポートTCP8080,サーバポートTCP80)>
(config)#ip dnat [DNATルール名] tcp [送信元IPアドレス] [送信元ポート番号] [ルータのIPアドレス] 8080 [LAN内のHTTPサーバのIPアドレス] 80
(config)#interface [WAN側インタフェース]
(config-if)#ip dnat-group [DNATルール名]

全ての送信元IPアドレス,送信元ポート番号を許可する場合は、[送信元IPアドレス],[送信元ポート番号]に「any」を設定します。
ルータのIPアドレスが動的IPアドレスの場合やNXR-G100/WMを利用している場合は、[ルータのIPアドレス]に「any」を設定します。
(☞) フィルタを合わせて設定する場合、設定例はこちら

 

<SSHサーバを外部に公開する>
(config)#ip dnat [DNATルール名] tcp [送信元IPアドレス] [送信元ポート番号] [ルータのIPアドレス] 22 [LAN内のSSHサーバのIPアドレス]
(config)#interface [WAN側インタフェース]
(config-if)#ip dnat-group [DNATルール名]

全ての送信元IPアドレス,送信元ポート番号を許可する場合は、[送信元IPアドレス],[送信元ポート番号]に「any」を設定します。
ルータのIPアドレスが動的IPアドレスの場合やNXR-G100/WMを利用している場合は、[ルータのIPアドレス]に「any」を設定します。
(☞) フィルタを合わせて設定する場合、設定例はこちら

 

<WAN側からLAN内のサーバへのICMPアクセスをパススルーする>
(config)#ip dnat [DNATルール名] 1 [送信元IPアドレス] [ルータのIPアドレス] [LAN内のサーバのIPアドレス]
(config)#interface [WAN側インタフェース]
(config-if)#ip dnat-group [DNATルール名]

全ての送信元IPアドレスを許可する場合は、[送信元IPアドレス]に「any」を設定します。
ルータのIPアドレスが動的IPアドレスの場合やNXR-G100/WMを利用している場合は、[ルータのIPアドレス]に「any」を設定します。
(☞) フィルタを合わせて設定する場合、設定例はこちら
(☞) 1行目の設定の「1」はICMPのプロトコル番号を表しています。

 

<WAN側からLAN内のIPsecサーバへのIPsec通信をパススルーする>
(config)#ip dnat [DNATルール名] udp [送信元IPアドレス] [送信元ポート番号] [ルータのIPアドレス] 500 [LAN内のIPsecサーバのIPアドレス]
(config)#ip dnat [DNATルール名] udp [送信元IPアドレス] [送信元ポート番号] [ルータのIPアドレス] 4500 [LAN内のIPsecサーバのIPアドレス]
(config)#ip dnat [DNATルール名] 50 [送信元IPアドレス] [ルータのIPアドレス] [LAN内のIPsecサーバのIPアドレス]
(config)#interface [WAN側インタフェース]
(config-if)#ip dnat-group [DNATルール名]

全ての送信元IPアドレス,送信元ポート番号を許可する場合は、[送信元IPアドレス],[送信元ポート番号]に「any」を設定します。
ルータのIPアドレスが動的IPアドレスの場合やNXR-G100/WMを利用している場合は、[ルータのIPアドレス]に「any」を設定します。
(☞) フィルタを合わせて設定する場合、設定例はこちら
(☞) ESPプロトコルとNATトラバーサルの混在環境を想定しています。
(☞) 3行目の設定の「50」はESPのプロトコル番号を表しています。

 

<WAN側からLAN内のPPTPサーバへのPPTP通信をパススルーする>
(config)#ip dnat [DNATルール名] tcp [送信元IPアドレス] [送信元ポート番号] [ルータのIPアドレス] 1723 [LAN内のPPTPサーバのIPアドレス]
(config)#ip dnat [DNATルール名] 47 [送信元IPアドレス] [ルータのIPアドレス] [LAN内のPPTPサーバのIPアドレス]
(config)#interface [WAN側インタフェース]
(config-if)#ip dnat-group [DNATルール名]

全ての送信元IPアドレス,送信元ポート番号を許可する場合は、[送信元IPアドレス],[送信元ポート番号]に「any」を設定します。
ルータのIPアドレスが動的IPアドレスの場合やNXR-G100/WMを利用している場合は、[ルータのIPアドレス]に「any」を設定します。
(☞) フィルタを合わせて設定する場合、設定例はこちら
(☞) 2行目の設定の「47」はGREのプロトコル番号を表しています。

 

送信元IPアドレスを変換する(SNATの利用)

ルータから送信するパケットの送信元IPアドレスを変換する場合、パケット送信インタフェースにおいて「ip snat-group」コマンドでSNATルール名を登録する必要があります。

 

<LANからWANへのアクセス時にSNAT対象の送信元IPアドレス指定する>
(config)#ip snat [SNATルール名] [SNAT変換対象の送信元IPアドレス] [送信元ポート番号] any any [ルータのWAN側IPアドレス]
(config)#interface [WAN側インタフェース]
(config-if)#ip snat-group [SNATルール名]

全ての送信元ポート番号を許可する場合は、[送信元ポート番号]に「any」を設定します。

<LANからWANへのアクセス時にSNAT対象の宛先IPアドレス指定する>
(config)#ip snat [SNATルール名] [送信元IPアドレス] [送信元ポート番号] [宛先IPアドレス] [宛先ポート番号] [ルータのWAN側IPアドレス]
(config)#interface [WAN側インタフェース]
(config-if)#ip snat-group [SNATルール名]

全ての送信元IPアドレス,送信元ポート番号を許可する場合は、[送信元IPアドレス],[送信元ポート番号]に「any」を設定します。
全ての宛先ポート番号を許可する場合は、[宛先ポート番号]に「any」を設定します。