1. FutureNet製品活用ガイド
  2. FutureNet NXR,VXRシリーズ
  3. NAT・フィルタ編

FutureNet

NXR,VXRシリーズ

NAT・フィルタ編

3. NAT/フィルタ応用設定

3-1. NATでのサーバ公開1(ポートマッピング)設定

1つのグローバルIPアドレスで複数のWebサーバを外部に公開する設定例です。この例では宛先IPアドレスの他にポート番号の変換も合わせて行います。

 

コンテンツ
構成図 設定フロー 設定例 設定例解説 端末の設定例 補足 付録

 

【 構成図 】

 

【 設定フロー 】

 

【 設定例 】

nxrg100#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
nxrg100(config)#interface ethernet 0
nxrg100(config-if)#ip address 192.168.10.1/24
nxrg100(config-if)#exit
nxrg100(config)#ip route 0.0.0.0/0 ppp 0
nxrg100(config)#ip dnat ppp0_dnat tcp any any 192.0.2.1 80 192.168.10.10
nxrg100(config)#ip dnat ppp0_dnat tcp any any 192.0.2.1 8080 192.168.10.20 80
nxrg100(config)#ip access-list ppp0_forward-in permit any 192.168.10.10 tcp any 80
nxrg100(config)#ip access-list ppp0_forward-in permit any 192.168.10.20 tcp any 80
nxrg100(config)#ppp account username test1@example.jp password test1pass
nxrg100(config)#interface ppp 0
nxrg100(config-ppp)#ip address 192.0.2.1/32
nxrg100(config-ppp)#ip dnat-group ppp0_dnat
nxrg100(config-ppp)#ip access-group forward-in ppp0_forward-in
nxrg100(config-ppp)#ip masquerade
nxrg100(config-ppp)#ip spi-filter
nxrg100(config-ppp)#ip tcp adjust-mss auto
nxrg100(config-ppp)#ppp username test1@example.jp
nxrg100(config-ppp)#exit
nxrg100(config)#interface ethernet 1
nxrg100(config-if)#no ip address
nxrg100(config-if)#pppoe-client ppp 0
nxrg100(config-if)#exit
nxrg100(config)#dns
nxrg100(config-dns)#service enable
nxrg100(config-dns)#exit
nxrg100(config)#fast-forwarding enable
nxrg100(config)#exit
nxrg100#save config

 

【 設定例解説 】

1. <LAN側(ethernet0)インタフェース設定>
nxrg100(config)#interface ethernet 0
nxrg100(config-if)#ip address 192.168.10.1/24

ethernet0インタフェースのIPアドレスを設定します。

 

2. <スタティックルート設定>
nxrg100(config)#ip route 0.0.0.0/0 ppp 0

デフォルトルートを設定します。

 

3. <DNAT設定>
nxrg100(config)#ip dnat ppp0_dnat tcp any any 192.0.2.1 80 192.168.10.10
nxrg100(config)#ip dnat ppp0_dnat tcp any any 192.0.2.1 8080 192.168.10.20 80

DNAT名をppp0_dnatとします。そして宛先IPアドレス192.0.2.1のパケットのうち、宛先TCPポート番号80のパケットの宛先IPアドレスは192.168.10.10に、宛先TCPポート番号8080のパケットの宛先IPアドレスは192.168.10.20,宛先TCPポート番号80に変換します。
(☞) DNAT設定を設定しただけでは宛先IPアドレスの変換機能は動作しません。宛先IPアドレスの変換を行うインタフェースでの登録が必要になります。

 

4. <IPアクセスリスト設定>
nxrg100(config)#ip access-list ppp0_forward-in permit any 192.168.10.10 tcp any 80
nxrg100(config)#ip access-list ppp0_forward-in permit any 192.168.10.20 tcp any 80

IPアクセスリスト名をppp0_forward-inとします。そして宛先IPアドレス192.168.10.10,宛先TCPポート番号80、宛先IPアドレス192.168.10.20,宛先TCPポート番号80のパケットを許可します。
(☞) IPアクセスリストを設定しただけではフィルタとして有効にはなりません。フィルタリングを行うインタフェースでの登録が必要になります。

 

5. <PPPアカウント設定>
nxrg100(config)#ppp account username test1@example.jp password test1pass

ppp0インタフェースで使用するISP接続用ユーザID,パスワードを設定します。
(☞) ここで設定したアカウントはppp0インタフェースの設定で指定します。

 

6. <WAN側(ppp0)インタフェース設定>
nxrg100(config)#interface ppp 0
nxrg100(config-ppp)#ip address 192.0.2.1/32

ppp0インタフェースのIPアドレスを設定します。

nxrg100(config-ppp)#ip dnat-group ppp0_dnat
nxrg100(config-ppp)#ip access-group forward-in ppp0_forward-in
nxrg100(config-ppp)#ip masquerade
nxrg100(config-ppp)#ip spi-filter
nxrg100(config-ppp)#ip tcp adjust-mss auto

ppp0_dnatをDNATグループに、IPアクセスリストppp0_forward-inをforward-inフィルタに適用します。またIPマスカレード、ステートフルパケットインスペクションを有効に設定します。そしてTCP MSSの調整機能をオートに設定します。

nxrg100(config-ppp)#ppp username test1@example.jp

ISP接続用ユーザIDを設定します。
(☞) PPPアカウント設定で登録したアカウントを設定します。

 

7. <ethernet1インタフェース設定>
nxrg100(config)#interface ethernet 1
nxrg100(config-if)#no ip address
nxrg100(config-if)#pppoe-client ppp 0

PPPoEクライアントを設定します。また使用するPPPインタフェースとしてppp0を指定します。

 

8. <DNS設定>
nxrg100(config)#dns
nxrg100(config-dns)#service enable

DNSサービスを有効にします。

 

9. <ファストフォワーディング設定>
nxrg100(config)#fast-forwarding enable

ファストフォワーディングを有効にします。ファストフォワーディングを有効にすることでパケット転送を高速に処理することができます。
(☞) ファストフォワーディングの詳細および利用時の制約については、NXR,WXRシリーズのユーザーズガイド(CLI版)に記載されているファストフォワーディングの解説をご参照ください。

 

【 端末の設定例 】

WWWサーバ1 WWWサーバ2
IPアドレス 192.168.10.10 192.168.10.20
サブネットマスク 255.255.255.0
デフォルトゲートウェイ 192.168.10.1
DNSサーバ 192.168.10.1

 

【 補足 】

NXR-G100/WMはホストとWiMAXモジュールから構成されています。またホストとWiMAXモジュールはLAN(USB)接続されており、WiMAX網から払い出されたIPアドレスはWiMAXモジュールに登録されます。そしてDNAT設定を行うホスト側にはWiMAXモジュールからローカルIPアドレスが割り当てられます。そのためDNAT設定でWiMAX網から払い出されたIPアドレスを指定することはできません。
以下はNXR-G100/WMを利用した場合のDNAT設定例になります。

<NXR-G100/WMでの宛先NAT(DNAT)設定>
nxrg100(config)#ip dnat wimax0_dnat tcp any any any 80 192.168.10.10

DNATの動作ルールを作成します。
DNAT名をwimax0_dnatとします。そして宛先TCPポート番号80のパケットの宛先IPアドレスを192.168.10.10に変換します。
(☞) DNATを設定しただけでは、宛先IPアドレスの変換機能は有効になりません。宛先IPアドレスの変換を行うインタフェースでの登録が必要になります。
(☞) 宛先IPアドレスはanyを設定します。

nxrg100(config)#ip access-list wimax0_forward-in permit any 192.168.10.10 tcp any 80

IPアクセスリスト名をwimax0_forward-inとします。そして宛先IPアドレス192.168.10.10,宛先TCPポート番号80のパケットを許可します。
(☞) IPアクセスリストを設定しただけでは、フィルタとして有効にはなりません。フィルタリングしたいインタフェースでの登録が必要になります。

nxrg100(config)#interface wimax 0
nxrg100(config-wimax)#ip dnat-group wimax0_dnat
nxrg100(config-wimax)#ip access-group forward-in wimax0_forward-in

wimax0インタフェースにおいてDNAT設定で設定したwimax0_dnatを適用します。これによりwimax0インタフェースでDNATによるIPアドレス変換が行われます。またIPアクセスリストwimax0_forward-inをforward-inフィルタに適用します。
その他WiMAX設定についてはWANインタフェース編 WiMAX設定のNXR-G100/WM WiMAX接続設定をご参照ください。

 

【 付録 】