- FutureNet製品活用ガイド
- FutureNet NXR,WXRシリーズ
- NAT・フィルタ編
FutureNet
NXR,WXRシリーズ
NAT・フィルタ編
3. NAT/フィルタ応用設定
3-4. NATでのサーバ公開4(LAN内のサーバにグローバルIPアドレスでアクセス)設定
NAT配下の端末よりNATで外部に公開しているサーバに対して、プライベートIPアドレスでのアクセスだけでなく、グローバルIPアドレスでアクセスすることも可能です。この設定例では、NATを利用して外部に公開しているLAN内のWWWサーバにグローバルIPアドレスでアクセスします。
【 構成図 】
【 設定データ 】
| 設定項目 | 設定内容 | |||
|---|---|---|---|---|
| LAN側インタフェース | ethernet0のIPアドレス | 192.168.10.1/24 | ||
| DNATグループ | eth0_dnat | |||
| SNATグループ | eth0_snat | |||
| WAN側インタフェース | PPPoEクライアント(ethernet1) | ppp0 | ||
| ppp0のIPアドレス | 10.10.10.1/32 | |||
| DNATグループ | ppp0_dnat | |||
| IPマスカレード | 有効 | |||
| IPアクセスグループ | forward-in | ppp0_forward-in | ||
| SPIフィルタ | 有効 | |||
| MSS自動調整 | オート | |||
| IPリダイレクト | 無効 | |||
| ISP接続用ユーザID | test1@example.jp | |||
| ISP接続用パスワード | test1pass | |||
| スタティックルート | 宛先IP アドレス | 0.0.0.0/0 | ||
| ゲートウェイ(インタフェース) | ppp0 | |||
| DNAT | ルール名 | ppp0_dnat | ||
| ppp0_dnat | プロトコル | TCP | ||
| 送信元IPアドレス | any | |||
| 送信元ポート | any | |||
| 宛先IPアドレス | 10.10.10.1 | |||
| 宛先ポート | 80 | |||
| 変換後宛先IPアドレス | 192.168.10.10 | |||
| ルール名 | eth0_dnat | |||
| eth0_dnat | プロトコル | TCP | ||
| 送信元IPアドレス | 192.168.10.0/24 | |||
| 送信元ポート | any | |||
| 宛先IPアドレス | 10.10.10.1 | |||
| 宛先ポート | 80 | |||
| 変換後宛先IPアドレス | 192.168.10.10 | |||
| SNAT | ルール名 | eth0_snat | ||
| eth0_snat | プロトコル | TCP | ||
| 送信元IPアドレス | 192.168.10.0/24 | |||
| 送信元ポート | any | |||
| 宛先IPアドレス | 192.168.10.10 | |||
| 宛先ポート | 80 | |||
| 変換後送信元IPアドレス | 192.168.10.1 | |||
| IPフィルタ | ルール名 | ppp0_forward-in | ||
| ppp0_forward-in | 動作 | 許可 | ||
| 送信元IPアドレス | any | |||
| 宛先IPアドレス | 192.168.10.10 | |||
| プロトコル | TCP | |||
| 送信元ポート | any | |||
| 宛先ポート | 80 | |||
| DNS | サービス | 有効 | ||
| FastFowarding | 有効 | |||
【 設定例 】
Enter configuration commands, one per line. End with CNTL/Z.
nxr120(config)#ip dnat ppp0_dnat tcp any any 10.10.10.1 80 192.168.10.10
nxr120(config)#ip dnat eth0_dnat tcp 192.168.10.0/24 any 10.10.10.1 80 192.168.10.10
nxr120(config)#ip snat eth0_snat tcp 192.168.10.0/24 any 192.168.10.10 80 192.168.10.1
nxr120(config)#interface ethernet 0
nxr120(config-if)#ip address 192.168.10.1/24
nxr120(config-if)#ip dnat-group eth0_dnat
nxr120(config-if)#ip snat-group eth0_snat
nxr120(config-if)#exit
nxr120(config)#ip route 0.0.0.0/0 ppp 0
nxr120(config)#ip access-list ppp0_forward-in permit any 192.168.10.10 tcp any 80
nxr120(config)#interface ppp 0
nxr120(config-ppp)#ip address 10.10.10.1/32
nxr120(config-ppp)#ip dnat-group ppp0_dnat
nxr120(config-ppp)#ip masquerade
nxr120(config-ppp)#ip access-group forward-in ppp0_forward-in
nxr120(config-ppp)#ip spi-filter
nxr120(config-ppp)#ip tcp adjust-mss auto
nxr120(config-ppp)#no ip redirects
nxr120(config-ppp)#ppp username test1@example.jp password test1pass
nxr120(config-ppp)#exit
nxr120(config)#interface ethernet 1
nxr120(config-if)#no ip address
nxr120(config-if)#pppoe-client ppp 0
nxr120(config-if)#exit
nxr120(config)#dns
nxr120(config-dns)#service enable
nxr120(config-dns)#exit
nxr120(config)#fast-forwarding enable
nxr120(config)#exit
nxr120#save config
【 設定例解説 】
1. <DNAT設定>
DNAT名をppp0_dnatとし、宛先IPアドレス10.10.10.1,宛先TCPポート番号80のパケットの宛先IPアドレスを192.168.10.10に変換します。
なお、このDNAT設定はppp0インタフェース設定で登録します。
DNAT名をeth0_dnatとし、送信元IPアドレス192.168.10.0/24,宛先IPアドレス10.10.10.1,宛先TCPポート番号80のパケットの宛先IPアドレスを192.168.10.10に変換します。
なお、このDNAT設定はethernet0インタフェース設定で登録します。
(☞) DNAT設定を設定しただけでは宛先IPアドレスの変換機能は動作しません。宛先IPアドレスの変換を行うインタフェースでの登録が必要になります。
2. <SNAT設定>
SNAT名をeth0_snatとし、送信元IPアドレス192.168.10.0/24,宛先IPアドレス192.168.10.10,宛先TCPポート番号80のパケットの送信元IPアドレスを192.168.10.1に変換します。
なお、このSNAT設定はethernet0インタフェース設定で登録します。
(☞) SNATを設定しただけでは送信元IPアドレスの変換機能は動作しません。送信元IPアドレスの変換を行うインタフェースでの登録が必要になります。
3. <LAN側(ethernet0)インタフェース設定>
nxr120(config-if)#ip address 192.168.10.1/24
ethernet0インタフェースのIP アドレスを設定します。
nxr120(config-if)#ip snat-group eth0_snat
eth0_dnatをDNATグループに、eth0_snatをSNATグループに適用します。
4. <スタティックルート設定>
デフォルトルートを設定します。
5. < IPアクセスリスト設定>
IPアクセスリスト名をppp0_forward-inとし、宛先IPアドレス192.168.10.10,宛先TCPポート番号80のパケットを許可します。
なお、このIPアクセスリスト設定はppp0インタフェース設定で登録します。
(☞) IPアクセスリストを設定しただけではフィルタとして有効にはなりません。フィルタリングを行うインタフェースでの登録が必要になります。
6. <WAN側(ppp0)インタフェース設定>
nxr120(config-ppp)#ip address 10.10.10.1/32
ppp0インタフェースのIPアドレスを設定します。
nxr120(config-ppp)#ip masquerade
nxr120(config-ppp)#ip access-group forward-in ppp0_forward-in
nxr120(config-ppp)#ip spi-filter
nxr120(config-ppp)#ip tcp adjust-mss auto
nxr120(config-ppp)#no ip redirects
IPマスカレード、ステートフルパケットインスペクションを有効に設定します。また、ppp0_dnatをDNATグループに、IPアクセスリストppp0_forward-inをforward-inフィルタに適用します。そして、TCP MSSの調整機能をオート、ICMPリダイレクト機能を無効に設定します。
ISP接続用のユーザIDとパスワードを設定します。
7. <ethernet1インタフェース設定>
nxr120(config-if)#no ip address
nxr120(config-if)#pppoe-client ppp 0
PPPoEクライアントとしてppp0インタフェースを使用できるように設定します。
8. <DNS 設定>
nxr120(config-dns)#service enable
DNSサービスを有効にします。
9. <ファストフォワーディングの有効化>
ファストフォワーディングを有効にします。ファストフォワーディングを設定することによりパケット転送の高速化を行うことができます。
(☞) ファストフォワーディングの詳細および利用時の制約については、NXR ,WXRシリーズのユーザーズガイド(CLI版)に記載されているファストフォワーディングの解説をご参照ください。
【 端末の設定例 】
| 端末 | WWWサーバ | |
| IP アドレス | 192.168.10.100 | 192.168.10.10 |
| サブネットマスク | 255.255.255.0 | |
| デフォルトゲートウェイ | 192.168.10.1 | |
| DNS サーバ | 192.168.10.1 | - |