こんにちは。30代未経験ネットワークエンジニアのshin@セキュリティエンジニアになるため勉強中です。
今回はIPプールの設定をしていきます。
IPプールとはSourceNATのことです。送信元のIPアドレスをNAT変換するための機能です。
例)
変換前 | 変換後 | ||
送信元IP | 宛先IP | 送信元IP | 宛先IP |
192.168.1.1 | 192.168.100.1 | 192.168.200.1 | 192.168.100.1 |
SourceNATは、企業間で統合がありIPアドレスを変更できない場合によく使うNATです。
目的
今回の目的は、IPプールを使用して実際に送信元IPアドレスが変わっていることを確認します
IPプールの設計
今回の設計では、以下のようにしたいと思います。
- FortigateのLAN側からDMZあるPC対して、IPプールを使用して通信します
- DMZにあるPCパケットをキャプチャして実際にIPアドレスが変わっていることを確認します
- IPプールの設定は、以下のようにする
項目 | 値 |
名前 | ScourceNAT_192.168.99.1 |
タイプ | オーバーロード |
External IP範囲 | 192.168.99.1 |
ARPリプライ | チェック |
変換イメージ
変換前 | 変換後 | ||
送信元IP | 宛先IP | 送信元IP | 宛先IP |
192.168.41.109 | 192.168.12.1 | 192.168.99.1 | 192.168.12.1 |
構成図
IPプールの作成手順
- 「ポリシー&オブジェクト>「IPプール」を選択
- 「新規作成」を選択
- 値を入力(事前設計の通りに設定します)
- 入力後、「OK」を選択
- IPプールが作成されたことを確認
以上でIPプールの設定は完了です。
続いて、IPプールをポリシーに設定します。
今回は以下の設計で設定します。
ポリシー設計
内容 | 値 |
入力インターフェース | internal |
出力インターフェース | dmz |
送信元 | all |
宛先 | all |
サービス | ALL |
アクション | ACCEPT |
NAT | 有効 |
IPプール設定 | ダイナミックIPプールを使う SourceNAT_192.168.99.1 |
通信確認
アクセスPCからサーバに対してpingをうってみます。
問題なくpingの応答がありました。
続いて、パケットキャプチャを確認してみます。
まずは、アクセスPC側のキャプチャから。
送信元は「192.168.41.109」からですね。
次は、サーバ側のキャプチャを確認。
ちゃんと、IPプールで指定したアドレスに変わってますね!
以上で、今回の確認を終わりにします。
いかがでしたでしょうか。NATを使う技術はよくあると思いますので、是非使用してみてください。
以上です。ありがとうございました。