ビデオ: パロアルトネットワークファイアウォール上のネットワークアドレス変換 – Network Address Translation on a Palo Alto 2024
ネットワークアドレス変換( NAT ) >はセットアップがとても簡単です。これらの例では、次の図を使用します。この例では、ルータにNATを設定しますが、1対1の動的マッピングが実装されています。これにより、実際のアドレスを動的に割り当てることができますが、すべてのデバイスがアドレスを受け取るように、同じ数の内部および外部アドレスを使用します。 <! - 1 - >
interface FastEthernet 0/0の説明InsideインターフェイスのIPアドレス192. 168. 8. 1 255. 255. 255. 0 exitインターフェイス内のip nat FastEthernet 0 / 1の説明インターフェイスの内部IPアドレス192. 168. 9. 1 255. 255. 255. 0出口インターフェイス内のip nat FastEthernet 0/2の説明外部インターフェイスのIPアドレス192. 255.255. 0 ip nat外部出口アクセスリスト10許可192. 168. 8. 8 0.0.7アクセスリスト10許可192. 168. 9. 8 0. 0. 7! ---アクセスリストは、ホスト192のみを許可します。168. 8. 8! --- 192。168. 8. 15および192。168. 9. 8~192. 168. 9. 15! --- NAT経由で発信します。 ip nat pool no-overload 192. 2. 2. 10 192. 2. 2.接頭辞24 ip natソースリスト内10 pool no-overload
この例では、1つの外部アドレスだけがあなたに割り当てられているとします。あなたのISP。すべてのトラフィックはこの1つのアドレスを通過する必要があります。これは、1つのアドレスがポート単位で変換されるため、PATの例です。
<! - 2 - >
interface FastEthernet 0/0の説明InsideインターフェイスのIPアドレス192. 168. 8. 1 255. 255. 255. 0 exitインターフェイス内のip nat FastEthernet 0/1の説明InsideインターフェイスのIPアドレス192 9. 1 255. 255. 255. 0 exitインターフェイス内のip nat FastEthernet 0/2の説明外部インターフェイスのip address 192.00.22.1 255.255.255.225 ipは出口アクセスリスト10のpermit 192になります。 168. 8. 8 0. 0. 7アクセスリスト10許可192. 168. 9. 8 0. 0. 7! ---アクセスリストは、ホスト192のみを許可します。168. 8. 8! --- 192。168. 8. 15および192。168. 9. 8~192. 168. 9. 15! --- NAT経由で発信します。 ip nat pool ovrld 192. 0. 2. 1 192.2 0. 1接頭辞30 ip nat in source list 10 pool ovrld最後に、内部アドレス192を持つ2つのサーバーがネットワーク内にあります。第1のサーバは電子メールに使用され、第2のサーバはウェブサーバである。 Webサーバーでは、あまり標準的でないTCPポート8080で実行されているサイトがありますが、外部ユーザーにはTCPポート80を使用させる必要があります。
<! - 3 - >
interface FastEthernet 0/0の説明インターフェイスの内部IPアドレス192。168. 8. 1 1 255. 255. 255. 0 ip nat inside exitインターフェイスFastEthernet 0/1 descriptionインターフェイスの内部IPアドレス192. 168. 9. 1 255. 255. 255. 0 exitインターフェイス内のip nat FastEthernet 0/2の説明インターフェイスの外部IPアドレス192.12.2.1 255.255.255.225.1.2.1アクセスリスト10の外部にありません。192.168.8.8 0.0.7アクセスリスト10の許可192.168。 9. 8 0. 0. 0.7! ---アクセスリストは、ホスト192のみを許可します。168. 8. 8! --- 192。168. 8. 15および192。168. 9. 8~192. 168. 9. 15! --- NAT経由で発信します。 ip nat pool ovrld 192. 0. 2. 1 192. 9. 2. 20 8080 192. 9. 20 20 8080 192. 0 2. 2. 1プレフィックス30 ip natソースリスト内10 pool ovrld ip nat source static tcp 192 ! ---これは、外部で2番目に利用可能なアドレスを使用します。 ---インターフェイスを使用することができましたが、設定済みの! --- FastEthernet0 / 2のアドレス。それも可能性があります! ---このコマンドを使用してInterfaceアドレス用に設定されています。 ip nat inside source static tcp 192. 168. 8. 20 25 interface FastEthernet0 / 2静的マッピングを作成するときにポートを使用して、内部リソースをルータまたはファイアウォールの外部インターフェイス経由でパブリッシュできるようにします。 ip staticのようなコマンドを使用しないでください。192.168.1.1 50 1922. 0. 2. 50。これにより、ホスト全体が効果的に配置されます。これは、そのホストに必要なものよりもはるかに多くの露出です。
インターフェイスコマンドを使用することは、ISPがDHCPまたはPPPoEを介して外部アドレスを動的に割り当てる場合に便利です。 interfaceコマンドを使用すると、ルーターやファイアウォールに割り当てられたアドレスを使用して設定を行うことができます。
後のシナリオを使用して、WebサーバーのIPアドレスを変更する必要がある場合(おそらく、192. 168. 9. 0/24ネットワークから192. 168. 8. 0/24ネットワークに移動する、またはポート番号を標準ポート80に戻す)、これらの変更は、ネットワーク外のユーザーに影響を与えずにルーターで行うことができます。
外部アドレスを指し示すDNSエントリは同じままであり、彼らの人生は正常に続きます。多くの場合、人々はネットワークのこの外部/内部マッピングの管理が簡単であることに驚きます。
