IPプールの設定

こんにちは。30代未経験ネットワークエンジニアのshin@セキュリティエンジニアになるため勉強中です。

今回はIPプールの設定をしていきます。

IPプールとはSourceNATのことです。送信元のIPアドレスをNAT変換するための機能です。

例)

変換前 変換後
送信元IP 宛先IP 送信元IP 宛先IP
192.168.1.1 192.168.100.1 192.168.200.1 192.168.100.1

SourceNATは、企業間で統合がありIPアドレスを変更できない場合によく使うNATです。

目的

今回の目的は、IPプールを使用して実際に送信元IPアドレスが変わっていることを確認します

IPプールの設計

今回の設計では、以下のようにしたいと思います。

  1. FortigateのLAN側からDMZあるPC対して、IPプールを使用して通信します
  2. DMZにあるPCパケットをキャプチャして実際にIPアドレスが変わっていることを確認します
  3. IPプールの設定は、以下のようにする
項目
名前 ScourceNAT_192.168.99.1
タイプ オーバーロード
External IP範囲 192.168.99.1
ARPリプライ チェック

 

変換イメージ

変換前 変換後
送信元IP 宛先IP 送信元IP 宛先IP
192.168.41.109 192.168.12.1 192.168.99.1 192.168.12.1


構成図

 

IPプールの作成手順

  1. 「ポリシー&オブジェクト>「IPプール」を選択
  2. 「新規作成」を選択
  3. 値を入力(事前設計の通りに設定します)
  4. 入力後、「OK」を選択
  5. IPプールが作成されたことを確認

以上でIPプールの設定は完了です。

続いて、IPプールをポリシーに設定します。
今回は以下の設計で設定します。

ポリシー設計

内容
入力インターフェース internal
出力インターフェース dmz
送信元 all
宛先 all
サービス ALL
アクション ACCEPT
NAT 有効
IPプール設定 ダイナミックIPプールを使う
SourceNAT_192.168.99.1

 

通信確認

アクセスPCからサーバに対してpingをうってみます。

問題なくpingの応答がありました。

続いて、パケットキャプチャを確認してみます。

まずは、アクセスPC側のキャプチャから。
送信元は「192.168.41.109」からですね。

次は、サーバ側のキャプチャを確認。
ちゃんと、IPプールで指定したアドレスに変わってますね!

以上で、今回の確認を終わりにします。
いかがでしたでしょうか。NATを使う技術はよくあると思いますので、是非使用してみてください。

以上です。ありがとうございました。