• SonicOS 7 ルールとポリシー
• アクセス ルール
  • ファイアウォール アクセス ルールの設定
    • ステートフル パケット検査の既定のアクセス ルールについて
    • 接続の制限について
    • アクセス ルールによる帯域幅管理の使用
      • アクセス ルールでの帯域幅管理の有効化
    • アクセス ルールの設定
      • 詳細設定の構成
      • QoS 設定値の構成
      • 詳細帯域幅管理での帯域幅管理の設定
      • グローバル帯域幅管理での帯域幅管理の設定
      • 地域 IP 設定値の構成
      • アクセス ルールの確認
      • IPv6 のアクセス ルールの設定
      • NAT64 のアクセス ルールの設定
      • DNS プロキシのアクセス ルール
      • アクセス ルールのユーザ優先順位
      • アクセス ルールの表示
        • ゾーン別
        • 列ごと
      • ゾーン間アクセス ルールの最大数の指定
      • ゾーンのアクセス ルールの設定
    • アクセス ルールの有効化と無効化
    • アクセス ルールの編集
    • アクセス ルールの削除
    • アクセス ルールの既定の設定の復元
    • アクセス ルールのトラフィック統計の表示
  • アクセス ルールの設定例
    • Ping の有効化
    • 特定のサービスへの LAN アクセスの遮断
    • LAN ゾーンからの WAN プライマリ IP アクセスの許可
• NAT ルール
  • SonicOS での NAT について
  • NAT 負荷分散について
    • 使用する NAT LB 方式の決定
    • 注意
    • 負荷分散アルゴリズムの適用方法
    • スティッキー IP アルゴリズムの例
      • 例 1 - ネットワークへの割付
      • 例 2 - IP アドレス範囲への割付
  • NAT64 について
    • Pref64::/n の使用
  • FQDN ベースの NAT について
  • 送信元 MAC アドレスの置き換えについて
  • NAT ポリシー エントリの表示
    • 表示の変更
    • 表示のフィルタリング
    • ポリシーに関する情報の表示
  • 「NAT または NAT64 の追加または編集」ポリシー
  • NAT ポリシーの削除
  • NAT ルール ポリシーの作成 例
    • 着信トラフィック用の 1 対 1 の NAT ポリシーの作成
    • 着信トラフィック用の 1 対 1 の NAT ポリシーの作成
    • 1 対 1 の NAT ポリシーによる着信ポート アドレス変換
    • WAN IP アドレス経由の着信ポート アドレス変換
    • 多対 1 の NAT ポリシーの作成
    • 多対多の NAT ポリシーの作成
    • 1 対多の NAT 負荷分散ポリシーの作成
    • 2 台のウェブ サーバの NAT 負荷分散ポリシーの作成
    • NAT64 ポリシーのための WAN から WAN へのアクセス ルールの作成
    • DNS 改竄
• ルーティング ルール
  • ルーティングについて
    • メトリックと管理距離
      • メトリックについて
      • 管理距離について
    • ルート通知
    • ECMP ルーティング
    • ポリシーベース ルーティング
    • ポリシーベース TOS ルーティング
    • PBR のメトリックベースの優先順位
    • ポリシー ベースのルーティングと IPv6
    • OSPF および RIP の高度なルーティング サービス
      • ルーティング サービスについて
        • プロトコル種別
        • 最大ホップ数
        • スプリット ホライズン
        • ポイズン リバース
        • ルーティング テーブル更新
        • サブネット サイズのサポート
        • 自律システム トポロジ
      • OSPF の条件
    • ドロップ トンネル インターフェース
    • アプリベースのルーティング
  • ルールとポリシー > ルーティング ルール
    • ルーティング ルールの設定
      • 静的ルートの追加
      • プローブに対応したポリシーベース ルーティングの設定
• コンテンツ フィルタ ルール
  • コンテンツ フィルタ ルール (CFS) について
    • コンテンツ フィルタ ルールについて
    • CFS ポリシーの UUID について
    • コンテンツ フィルタ オブジェクトについて
    • CFS の動作
  • CFS ポリシーの設定
    • コンテンツ フィルタ ルール テーブルについて
      • コンテンツ フィルタ ルール テーブルの検索
    • コンテンツ フィルタ ルールの追加
    • コンテンツ フィルタ ルールの編集
    • コンテンツ フィルタ ルールの削除
• アプリケーション ルール
  • アプリケーション ルールについて
    • アプリケーション ルールとは？
      • アプリケーション ルール ポリシーについて
      • アプリケーション ルールの性能について
    • アプリケーション ルールのメリット
    • アプリケーション制御の仕組み
    • アプリケーション制御ポリシーの作成について
    • アプリケーション ルール ポリシーの作成について
    • プリケーション ルールとアプリケーション制御 のライセンス
    • 用語
  • ルールとポリシー > アプリケーション ルール
    • アプリケーション ルール ポリシーの設定
    • アプリケーション ルール ウィザードを使用する
  • アプリケーション ルール設定の確認
    • 便利なツール
      • Wireshark
      • 16 進エディタ
  • アプリケーション ルールの使用例
    • 一致オブジェクトでの正規表現の作成
    • ポリシーベースのアプリケーション ルール
    • アプリケーション シグネチャベース ポリシーのログ
    • コンプライアンスの施行
    • サーバの保護
    • ホストされる電子メール環境
    • 電子メール制御
    • ウェブ ブラウザ制御
    • HTTP POST 制御
    • 禁止するファイル タイプ制御
    • ActiveX コントロール
    • FTP 制御
      • 機密ファイルの FTP 送信の遮断
      • 送信 UTF-8/UTF-16 エンコード ファイルの遮断
      • FTP コマンドの遮断
    • 帯域幅管理
    • DPI をバイパス
    • 個別のシグネチャ
    • リバース シェル悪用の防御
      • ネットワーク アクティビティの生成
      • Wireshark を使用したペイロードのキャプチャおよびテキスト ファイルへのエクスポート
      • 一致オブジェクトの作成
      • ポリシーの定義
• エンドポイント ルール
• SonicWall サポート

WAN IP アドレス経由の着信ポート アドレス変換

これは、SonicOS が動作しているファイアウォール上に作成できる、より複雑な NAT ポリシーの 1 つで、ファイアウォールの WAN IP アドレスを使用して、複数の内部サーバにアクセスできるようになります。このポリシーが特に有効なのは、ISP から 1 つのパブリック IP アドレスしか提供されず、その IP アドレスをファイアウォールの WAN インターフェース (既定では X1 インターフェース) で使用する必要がある場合などです。

以下では、ファイアウォールの WAN IP アドレス経由で 2 台の内部ウェブ サーバへのパブリック アクセスを提供する設定を行います。各サーバは固有のユーザ定義ポートに接続されます。ポートがすべて一意である限り、3 つ以上を作成することが可能です。

ファイアウォールの WAN IP アドレスを使用して複数の内部サーバにアクセスできるようにするには、以下の手順に従います。

1. サーバが応答する固有のパブリック ポートに対応する 2 つのユーザ定義サービス オブジェクトを作成します。次を参照してください。 .
2. サーバのプライベート IP アドレスに対応する 2 つのアドレス オブジェクトを作成します。次を参照してください。 .
3. 2 つの NAT ポリシーを作成して、2 台のサーバがパブリック インターネットへのトラフィックを開始できるようにします。次を参照してください。 .
4. 2 つの NAT ポリシーを作成して、個別ポートを実際のリスニング ポートに割り付け、各サーバのプライベート IP アドレスをファイアウォールの WAN IP アドレスに割り付けます。次を参照してください。受信 NAT ポリシーの作成.
5. 2 つのアクセス ルールを作成して、任意のパブリック ユーザが、ファイアウォールの WAN IP アドレス経由で両方のサーバ、および各サーバの固有の個別ポートに接続できるようにします。次を参照してください。 .

WAN IP アドレス経由の着信ポート アドレス変換ポリシーを作成するには、以下の手順に従います。

サービスの作成

1. 「オブジェクト | 一致オブジェクト > サービス」ページに移動します。
2. 「追加」を選択します。「サービスの追加」ダイアログが表示されます。
3. 2 つのサービス オブジェクトを作成します。「名前」に対して、servone_public_port や servtwo_public_port などのユーザ定義サービス オブジェクト名を入力します。
4. それぞれについて、「プロトコル」として「TCP(6)」を選択します。
5. 9100 を servone_public_port の開始および終了ポートとして入力します。
6. 9200 を servtwo_public_port の開始および終了ポートとして入力します。

7. それぞれのユーザ定義サービスを設定した後は、「保存」ボタンをクリックしてユーザ定義サービスを保存します。

8. 両方のユーザ定義サービスを設定したら、「閉じる」をクリックします。

アドレスの作成

1. 「オブジェクト | 一致オブジェクト > アドレス」ページに移動します。2 つのアドレス オブジェクトを作成します。
2. 「+ 追加」をクリックします。「アドレス オブジェクト設定」ダイアログが表示されます。
3. 「名前」に対して、servone_private_ip や servtwo_private_ip などのユーザ定義アドレス オブジェクト名を入力します。
4. 「ゾーンの割り当て」ドロップダウン メニューで、サーバが配置されているゾーンを選択します。
5. 「種別」ドロップダウン メニューで「ホスト」を選択します。
6. 「IP アドレス」フィールドにサーバのプライベート IP アドレスを入力します。

7. それぞれのアドレス オブジェクトを設定した後は、「保存」をクリックしてアドレス オブジェクトを作成します。

8. 両方のアドレス オブジェクトを設定したら、「閉じる」をクリックします。

発信 NAT ポリシーの作成

1. 「ポリシー | ルールとポリシー > NAT ルール」ページに移動します。
2. 「+ 名前」をクリックします。「NAT ポリシーの追加」ダイアログが表示されます。

3. 2 つの NAT ポリシーを作成して、両方のサーバがファイアウォールの WAN IP アドレスを使用してパブリック インターネットへのトラフィックを開始できるようにするには、表に示す 2 つのオプション セットを設定します (「 」の表を参照)。

   オプションの選択: インターネットへのトラフィックを開始する 2 台のサーバ

   オプション	サーバ 1 の値	サーバ 2 の値
   変換前の送信元	servone_private_ip	servtwo_private_ip
   変換後の送信元	WAN Interface IP	WAN Interface IP
   変換前の送信先	すべて	すべて
   変換後の送信先	変換前	変換前
   変換前のサービス	すべて	すべて
   変換後のサービス	変換前	変換前
   着信インターフェース	X3	X3
   発信インターフェース	X1	X1
   コメント	簡単な説明を入力	簡単な説明を入力
   NAT ポリシーを有効にする	オン	オン
   再帰ポリシーを作成する	（淡色表示）	（淡色表示）

4. サーバごとに NAT ポリシーを設定した後は、「追加」をクリックして、その NAT ポリシーを追加して有効にします。

5. 両方の NAT ポリシーを設定したら、「閉じる」をクリックします。

   これらのポリシーを適用すると、ファイアウォールは、インターフェース (既定では X1 インターフェース) からのトラフィック開始時に、サーバのプライベート IP アドレスをパブリック IP アドレスに変換します。

受信 NAT ポリシーの作成

1. もう一度「ポリシー | ルールとポリシー > NAT ルール」ページで「+ 追加」をクリックします。「NAT ポリシーの追加」ダイアログが表示されます。

2. ユーザ定義ポートを両方のサーバの実際のリスニングポートにマップし、ファイアウォールの WAN IP アドレスをサーバのプライベート アドレスにマップする 2 つの NAT ポリシーを作成するには、表に示している 2 つのオプション セットを設定します (「オプションの選択: 「サーバへの個別ポートの割付」の表を参照)。

   オプションの選択: サーバへの個別ポートの割付

   オプション	サーバ 1 の値	サーバ 2 の値
   変換前の送信元	すべて	すべて
   変換後の送信元	変換前	変換前
   変換前の送信先	WAN Interface IP	WAN Interface IP
   変換後の送信先	servone_private_ip	servtwo_private_ip
   変換前のサービス	servone_public_port	servtwo_public_port
   変換後のサービス	HTTP	HTTP
   着信インターフェース	X1	X1
   発信インターフェース	すべて	すべて 送信先インターフェースの設定では、サーバが接続されているインターフェースを指定するのではなく、必ず「すべて」を選択してください。
   コメント	簡単な説明を入力	簡単な説明を入力
   NAT ポリシーを有効にする	オン	オン
   再帰ポリシーを作成する	消去	消去

3. サーバごとに NAT ポリシーを設定した後は、「保存」をクリックして、その NAT ポリシーを追加して有効にします。

4. 両方の NAT ポリシーを設定したら、「閉じる」をクリックします。

アクセス ルールの作成

1. 「ポリシー | ルールとポリシー > アクセス ルール」ページに移動します。
2. 「+ ルールの追加」をクリックします。「アクセス ルールの作成」ウィザードが表示されます。

3. パブリック インターネットのすべてのユーザが個別ポートとファイアウォールの WAN IP アドレスを使用して 2 台のウェブ サーバにアクセスできるようにするためのアクセス ルールを作成するには、表に示されている 2 つのオプションを設定します (「 」の表を参照)。

   オプションの選択: アクセス ルールの作成

   オプション	サーバ 1 の値	サーバ 2 の値
   動作	許可	許可
   変更前:	WAN	WAN
   変更後:	サーバに割り当てられたゾーン	サーバに割り当てられたゾーン
   送信元ポート	すべて	すべて
   サービス	servone_public_port	servtwo_public_port
   送信元	すべて	すべて
   送信先	WAN Interface IP	WAN Interface IP
   包含ユーザ	すべて	すべて
   除外ユーザ	なし	なし
   スケジュール	常に有効	常に有効
   ログ	オン	オン
   コメント	簡単な説明を入力	簡単な説明を入力

4. サーバごとにアクセス ルールを設定した後は、「保存」をクリックして、そのアクセス ルールを追加して有効にします。

5. 両方のアクセス ルールを設定したら、「閉じる」をクリックします。

テストと検証

確認するには、パブリック インターネット上に配置されているシステムを使用して、新しいカスタム ポートでファイアウォールの WAN IP アドレス経由でウェブ サーバにアクセスしてください (例: http://67.115.118.70:9100 and http://67.115.118.70:9200). 正常に接続できるはずです。接続不可の場合は、このセクションとを調べて、必要なすべての項目を正しく設定したことを確認します。