Palo Alto 宛先 NAT の設定方法と NAT テストコマンド

2025年3月20日

動作確認環境

PA-200
- Version 8.1.19

NAT 処理プロセスに関する基礎知識

NAT を設定するにあたり、まずパケット処理プロセスについて把握してください。

Palo Alto ファイアウォールがパケット受信時の各処理の順序は以下の通りです。

NATに関わる処理プロセス

パケットを着信したインターフェースから送信元ゾーンが確定する
入力パケットの宛先 IP アドレスに基いてルーティングされ、出力インターフェース及び宛先ゾーンが決定される
この時点の [送信元/宛先] IP アドレス、及び [送信元/宛先] ゾーンに基いて NAT ルールの適用有無を検査・確定する
NAT 後の宛先 IP アドレスに基いて再度ルーティングされ、宛先ゾーンが再決定される（宛先 NAT が適用される場合）
NAT 前の [送信元/宛先] IP アドレス、及びこの時点での [送信元/宛先] ゾーンに基づいて、一致するセキュリティポリシーを検査・適用する
- [送信元/宛先] アドレス、送信元ゾーン: NAT 前のもので検査
- 宛先ゾーン: NAT 後のもので検査
一致する NAT ルールに基づいて、出力時に送信元・宛先アドレス、ポート番号を変換する

送信元 NAT だけを行う場合はそれほど気にしなくても大丈夫ですが、宛先 NAT を行う場合はセキュリティポリシーの設定などに注意が必要です。

宛先 NAT の設定方法

例として以下の構成を考えます。

PC-A から PC-B 宛に通信する際に、PC-A での宛先 IP アドレスを 10.10.1.100 とし、Palo Alto で宛先 IP アドレスを 10.11.1.254 に変換させるよう設定します。

宛先NATの設定手順

NAT ルールを設定する
セキュリティポリシーを設定する

NAT ルールの設定

NAT ルールの追加は [Policies → NAT] 画面の [追加] から行います。

以下の NAT ポリシールール設定画面が表示されます。

まず全般タブでは以下の項目を設定します。

名前: 任意の NAT ルール名を入力します
内容: 説明文を設定したい場合は入力します
タグ: タグを指定したい場合は指定します
NAT タイプ: ipv4 とします

次に [元のパケット] タブでは以下の項目を設定します。

送信元ゾーン: NAT 対象通信の送信元ゾーンを指定します
宛先ゾーン: NAT 対象通信の宛先ゾーンを指定します（変換前の宛先で考える）
- 例では、変換前の宛先である 10.10.1.100 に基づき trust ゾーンとなる
宛先インターフェース: NAT 対象通信の宛先インターフェースを指定します
サービス: NAT 対象通信のサービスを指定します（変換前のもの）
送信元アドレス: NAT 対象通信の送信元アドレスを指定します（変換前のもの）
宛先アドレス: NAT 対象通信の宛先アドレスを指定します（変換前のもの）
- 例では、変換前の宛先である 10.10.1.100/32 のアドレスオブジェクトを設定

最後に [変換済みパケット] タブで以下の項目を設定します。

送信元アドレスの変換
- 変換タイプ: None とします
宛先アドレスの変換
- 変換タイプ: スタティック IP とします
- 変換後アドレス: 変換後の宛先アドレスを指定します
  - 例では、変換後の宛先である 10.11.1.254/32 のアドレスオブジェクトを指定
- 変換済みポート: 宛先ポートを変換する場合のみ、変換後の宛先ポートを指定

CLI でこれらの設定をする場合は以下コマンドです。

set rulebase nat rules NAT_Rule_01 destination-translation translated-address Addr_10.11.1.254_32
set rulebase nat rules NAT_Rule_01 to trust
set rulebase nat rules NAT_Rule_01 from trust
set rulebase nat rules NAT_Rule_01 source any
set rulebase nat rules NAT_Rule_01 destination Addr_10.10.1.100_32
set rulebase nat rules NAT_Rule_01 service any

セキュリティポリシーの設定

セキュリティポリシーについては注意すべき点だけ記載しますが、宛先 NAT をする場合は以下の点に注意して設定してください。

宛先ゾーン: NAT 変換後の宛先アドレスに基づいて決まるゾーンを設定する
- 例では、NAT 変換後の宛先のゾーンは untrust になります
宛先アドレス: NAT 変換前のアドレスを設定する

NAT のテストコマンド

実際に通信を行わなくても以下のコマンドで NAT のテストができます。

NATのテストコマンド

test nat-policy-match from <from-zone> to <to-zone> source <source-ip> destination <dest-ip> destination-port <dest-port> protocol <protocol-type>
- <protocol-type> は以下の通り
  - 1: ICMP
  - 6: TCP
  - 17: UDP

admin@PA-200-A(active)> test nat-policy-match from trust to trust source 10.10.1.254 destination 10.10.1.100 protocol 1

Destination-NAT: Rule matched: NAT_Rule_01
10.10.1.100:0 => 10.11.1.254:0

NAT セッションの確認コマンド

以下のコマンドで NAT セッションを表示できます。

show session all

admin@PA-200-A(active)> show session all

--------------------------------------------------------------------------------
ID          Application    State   Type Flag  Src[Sport]/Zone/Proto (translated IP[Port])
Vsys                                          Dst[Dport]/Zone (translated IP[Port])
--------------------------------------------------------------------------------
85           ping           ACTIVE  FLOW  ND   10.10.1.254[11]/trust/1  (10.10.1.254[11])
vsys1                                          10.10.1.100[3]/untrust  (10.11.1.254[3])
82           ping           ACTIVE  FLOW  ND   10.10.1.254[11]/trust/1  (10.10.1.254[11])
vsys1                                          10.10.1.100[0]/untrust  (10.11.1.254[0])
83           ping           ACTIVE  FLOW  ND   10.10.1.254[11]/trust/1  (10.10.1.254[11])
vsys1                                          10.10.1.100[1]/untrust  (10.11.1.254[1])
86           ping           ACTIVE  FLOW  ND   10.10.1.254[11]/trust/1  (10.10.1.254[11])
vsys1                                          10.10.1.100[4]/untrust  (10.11.1.254[4])
84           ping           ACTIVE  FLOW  ND   10.10.1.254[11]/trust/1  (10.10.1.254[11])
vsys1                                          10.10.1.100[2]/untrust  (10.11.1.254[2])

Palo Alto 関連記事一覧