着信トラフィック用の 1 対 1 の NAT ポリシーの作成

1 対 1 NAT ポリシーは、SonicWall セキュリティ装置で最も一般的に使用される NAT ポリシーの種別です。このポリシーによって、外部の公開 IP アドレスを内部のプライベート IP アドレスに変換できます。この NAT ポリシーを「許可」アクセス ルールと組み合わせると、公開 IP アドレスを使用して、任意の送信元を内部サーバに接続できます。ファイアウォールは、プライベート アドレスと公開アドレス間の変換を処理します。このポリシーを適用すると、ファイアウォールは、webserver_public_ip へ着信したトラフィックを、webserver_private_ip に送信します。

また、すべてのユーザがウェブ サーバのパブリック IP アドレス経由でウェブ サーバへの HTTP 接続を確立できるようにアクセス ポリシーを作成し、さらに NAT ポリシーも作成する必要があります。

この 1 対 1 インバウンド NAT ポリシーのミラー (リフレクティブ) ポリシーについては、「発信トラフィック用の 1 対 1 の NAT ポリシーの作成」を参照してください。

内部サーバの実際のリスニング ポートを隠し、別のポートのサーバにパブリック アクセスを提供する場合は、「1 対 1 の NAT ポリシーによる着信ポート アドレス変換」を参照してください。

着信トラフィック用の 1 対 1 のポリシーを作成するには、以下の手順に従います。

1. 「ポリシー | ルールとポリシー > アクセス ルール」ページに移動します。

   

2. 「+ ルールの追加」をクリックして「アクセス ルールの作成」ダイアログを表示します。

3. 次の例に示されている値を入力します。 .

   オプションの選択: 1 対 1 着信トラフィックのアクセス ルールの例

   オプション	値
   動作	許可
   変更前:	WAN
   変更後:	サーバが配置されているゾーンを選択します。
   送信元ポート	ポートを選択します。既定値は「すべて」です。「送信元ポート」を設定すると、アクセス ルールは選択されたサービス オブジェクト/グループで定義されている送信元ポートに基づいてトラフィックをフィルタ処理します。選択されたサービス オブジェクト/グループには、「サービス」で選択するのと同じプロトコル種別が設定されている必要があります。
   サービス	HTTP
   送信元	すべて
   送信先	webserver_public_ip （サーバのパブリック IP アドレスを含むアドレスオブジェクト）
   包含ユーザ	すべて (既定)
   除外ユーザ	なし (既定)
   スケジュール	常に有効 (既定)
   コメント	簡単な説明を入力
   ログを有効にする	選択
   断片化パケットを許可する	選択
   他のすべてのオプション	選択解除

4. 「適用」を選択します。ルールが追加されます。「アクセス ルール」ウィザードを続行して、追加のルールを設定することもできます。
5. 「終了」をクリックします。
6. 「ポリシー | ルールとポリシー > NAT ルール」ページに移動します。
7. 「+ 名前」をクリックして、「NAT ポリシーの追加」ダイアログを表示します。

8. 表に示されている値を設定します (「 」の表を参照)。

   オプションの選択: 1 対 1 着信 NAT ポリシー

   オプション	値
   変換前の送信元	すべて
   変換後の送信元	変換前
   変換前の送信先	webserver_public_ip
   変換後の送信先	webserver_private_ip
   変換前のサービス	HTTP
   変換後のサービス	変換前
   着信インターフェース	X1
   発信インターフェース	すべて 補足: サーバが接続されているインターフェースではなく、「すべて」を選択します。
   コメント	簡単な説明を入力
   NAT ポリシーを有効にする	オン
   再帰ポリシーを作成する	チェックされていない

9. 「追加」、「閉じる」の順にクリックします。

設定が完了したら、パブリック インターネット上に配置されているシステムを使用して、ウェブ サーバのパブリック IP アドレスへのアクセスを試行します。正常に接続できるはずです。接続不可の場合は、このセクションと「発信トラフィック用の 1 対 1 の NAT ポリシーの作成」セクションを調べて、必要なすべての項目を正しく設定したことを確認します。