こんにちは。30代未経験ネットワークエンジニアのshin@セキュリティエンジニアになるため勉強中です。
今回はIPプールの設定をしていきます。
IPプールとはSourceNATのことです。送信元のIPアドレスをNAT変換するための機能です。
例)
| 変換前 | 変換後 | ||
| 送信元IP | 宛先IP | 送信元IP | 宛先IP |
| 192.168.1.1 | 192.168.100.1 | 192.168.200.1 | 192.168.100.1 |
SourceNATは、企業間で統合がありIPアドレスを変更できない場合によく使うNATです。
目的
今回の目的は、IPプールを使用して実際に送信元IPアドレスが変わっていることを確認します
IPプールの設計
今回の設計では、以下のようにしたいと思います。
- FortigateのLAN側からDMZあるPC対して、IPプールを使用して通信します
- DMZにあるPCパケットをキャプチャして実際にIPアドレスが変わっていることを確認します
- IPプールの設定は、以下のようにする
| 項目 | 値 |
| 名前 | ScourceNAT_192.168.99.1 |
| タイプ | オーバーロード |
| External IP範囲 | 192.168.99.1 |
| ARPリプライ | チェック |
変換イメージ
| 変換前 | 変換後 | ||
| 送信元IP | 宛先IP | 送信元IP | 宛先IP |
| 192.168.41.109 | 192.168.12.1 | 192.168.99.1 | 192.168.12.1 |
構成図
IPプールの作成手順
- 「ポリシー&オブジェクト>「IPプール」を選択
- 「新規作成」を選択
- 値を入力(事前設計の通りに設定します)
- 入力後、「OK」を選択
- IPプールが作成されたことを確認
以上でIPプールの設定は完了です。
続いて、IPプールをポリシーに設定します。
今回は以下の設計で設定します。
ポリシー設計
| 内容 | 値 |
| 入力インターフェース | internal |
| 出力インターフェース | dmz |
| 送信元 | all |
| 宛先 | all |
| サービス | ALL |
| アクション | ACCEPT |
| NAT | 有効 |
| IPプール設定 | ダイナミックIPプールを使う SourceNAT_192.168.99.1 |
通信確認
アクセスPCからサーバに対してpingをうってみます。
問題なくpingの応答がありました。
続いて、パケットキャプチャを確認してみます。
まずは、アクセスPC側のキャプチャから。
送信元は「192.168.41.109」からですね。
次は、サーバ側のキャプチャを確認。
ちゃんと、IPプールで指定したアドレスに変わってますね!
以上で、今回の確認を終わりにします。
いかがでしたでしょうか。NATを使う技術はよくあると思いますので、是非使用してみてください。
以上です。ありがとうございました。