目次
動作確認環境
- PA-200
- Version 8.1.19
検証構成
以下のネットワーク構成を考えます。
- Trust ゾーンから Untrust ゾーンへの通信に対して Palo Alto でダイナミック NAPT を適用します
- NAPT 後の送信元 IP アドレスは Palo Alto の出力インターフェースの IP アドレスとします
ダイナミック NAPT の設定方法
[Policies → NAT] 画面で下側にある [追加] をクリックします。
NAT ポリシールール設定画面が表示されるため、各項目を設定していきます。
まず [全般] タブでは名前欄に任意のルール名を入力します。
次に [元のパケット] タブを設定します。
- 送信元ゾーン: 今回の例では Trust ゾーンが送信元ゾーンです
- 宛先ゾーン: 今回の例では Untrust ゾーンが宛先ゾーンです
- 宛先インターフェイス/サービス: 今回の例では特に限定しないので any のままとします
- 送信元アドレス: 今回の例では 192.168.1.0/24 が送信元アドレスです
- 宛先アドレス: 今回の例では特に限定しないので「いずれか」にチェックを入れたままとします
最後に [変換済みパケット] を設定していきます。
- 送信元アドレスの変換
- 変換タイプ: ダイナミック NAPT にするため「ダイナミック IP およびポート」を選択します
- アドレスタイプ: 今回の例では出力インターフェースの IP アドレスに変換するため「インターフェイス アドレス」を選択します
- インターフェイス: 出力インターフェースである ethernet1/1 を選択します
- IP アドレス: ethernet1/1 の IP アドレスである 10.1.1.1/24 を選択します
- 宛先アドレスの変換
- 変換タイプ: 宛先 NAT はしないため「None」のままとします
以上で NAT ルールの設定は完了です。
なお、CLI で上記設定をする場合は以下のコマンドとなります。
set rulebase nat rules NAT01 source-translation dynamic-ip-and-port interface-address ip 10.1.1.1/24
set rulebase nat rules NAT01 source-translation dynamic-ip-and-port interface-address interface ethernet1/1
set rulebase nat rules NAT01 to Untrust
set rulebase nat rules NAT01 from Trust
set rulebase nat rules NAT01 source Addr_192.168.1.0_32
set rulebase nat rules NAT01 destination any
set rulebase nat rules NAT01 service any動作確認とセッションテーブルの確認
show session all [source <IP>] コマンドでセッションテーブルを表示できます。
admin@PA-200> show session all filter source 192.168.1.1
--------------------------------------------------------------------------------
ID Application State Type Flag Src[Sport]/Zone/Proto (translated IP[Port])
Vsys Dst[Dport]/Zone (translated IP[Port])
--------------------------------------------------------------------------------
241 ntp ACTIVE FLOW NS 192.168.1.1[123]/Trust/17 (10.1.1.1[37573])
vsys1 133.243.238.163[123]/Untrust (133.243.238.163[123])
admin@PA-200> show session all filter source 192.168.1.100
--------------------------------------------------------------------------------
ID Application State Type Flag Src[Sport]/Zone/Proto (translated IP[Port])
Vsys Dst[Dport]/Zone (translated IP[Port])
--------------------------------------------------------------------------------
217 ssl ACTIVE FLOW NS 192.168.1.100[55183]/Trust/6 (10.1.1.1[51287])
vsys1 183.181.89.54[993]/Untrust (183.181.89.54[993])上記ログから、送信元アドレスが 192.168.1.1、192.168.1.100 のいずれの場合も送信元アドレスが 10.1.1.1 に変換されていることが分かります。
Palo Alto 関連記事一覧
- 基礎知識
- システム設定
- 初期設定
- NTP
- DNS
- Syslog
- SNMP
- HA 設定(冗長化)
- インターフェース設定
- ルーティング設定
- ポリシー
- 基礎知識
- アドレス・サービス
- セキュリティポリシー
- NAT
- TIPS
- VPN
- サービス機能
- TIPS
- 参考資料
- https://docs.paloaltonetworks.com/
- https://docs.paloaltonetworks.com/translated/japanese#sort=relevancy&layout=card&numberOfResults=25
- https://docs.paloaltonetworks.com/search.html#q=pan-os%20admin%20guide&sort=relevancy&layout=card&numberOfResults=25
- https://docs.paloaltonetworks.com/pan-os/10-1/pan-os-cli-quick-start/cli-command-hierarchy-for-pan-os-101/pan-os-101-configure-cli-command-hierarchy
Amazon で買えるおすすめアイテム
以下は Amazon アフィリエイトリンクです。ネットワーク作業向けにそこそこおすすめなアイテムです。
【整備済み品】HP ノートパソコン 830G5/13.3型フルHD/Win 11/MS Office H&B 2019/第7世代i5-7200U 2.50GHz/メモリ 16GB/SSD 512GB/指紋リーダー/USB 3.0/WEBカメラ/初期設定済
コメント