1. No category

この章

CHAPTER
30
スタティック PAT の設定
スタティック PAT 変換では、グローバル アドレスの特定の UDP ポートまたは TCP ポートを、ローカ
ル アドレスの特定のポートに変換できます。つまり、アドレスとポート番号の両方が変換されます。
この章では、スタティック PAT を設定する方法について説明します。次の項目を取り上げます。
• 「スタティック PAT に関する情報」(P.30-1)
• 「スタティック PAT のライセンス要件」(P.30-3)
• 「スタティック PAT の前提条件」(P.30-3)
• 「ガイドラインと制限事項」(P.30-3)
• 「デフォルト設定」(P.30-4)
• 「スタティック PAT の設定」(P.30-4)
• 「スタティック PAT の監視」(P.30-8)
• 「スタティック PAT の設定例」(P.30-8)
• 「スタティック PAT の機能履歴」(P.30-10)
スタティック PAT に関する情報
スタティック PAT は、プロトコル(TCP または UDP)および実際のアドレスとマッピング アドレス
のポートを指定できる点を除くと、スタティック NAT と同じです。スタティック PAT では、各文の
ポートが別個である限り、多数の異なるスタティック文にわたって同じマッピング アドレスを指定で
きます。複数のスタティック NAT 文に対しては、同じマッピング アドレスを使用できません。
図 30-1 に、一般的なスタティック PAT のシナリオを示します。この変換は常にアクティブであるた
め、変換済みのホストとリモート ホストの両方が接続を開始でき、マッピング アドレスとポートは
static コマンドによってスタティックに割り当てられます。
図 30-1
一般的なスタティック PAT のシナリオ
࠮ࠠࡘ࡝࠹ࠖ
ࠕࡊ࡜ࠗࠕࡦࠬ
209.165.201.1:23
10.1.1.2:8080
209.165.201.2:80
ౝㇱ
ᄖㇱ
130044
10.1.1.1:23
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
30-1
第 30 章
スタティック PAT の設定
スタティック PAT に関する情報
セカンダリ チャネルのアプリケーション検査が必要なアプリケーション(FTP、VoIP など)を使用す
る場合は、適応型セキュリティ アプライアンスが自動的にセカンダリ ポートを変換します。
たとえば、FTP、HTTP、および SMTP にアクセスするリモート ユーザに 1 つのアドレスを提供する
必要があるときに、これらが実際のネットワークでそれぞれ異なるサーバにある場合は、同じマッピン
グ IP アドレスを使用しながら異なるポートを使用する各サーバに対してスタティック PAT 文を指定で
きます (図 30-2 を参照)。
図 30-2
スタティック PAT
ࡎࠬ࠻
ᄌ឵ࠍరߦᚯߔ
209.165.201.3:21
10.1.2.27
ᄖㇱ
ᄌ឵ࠍరߦᚯߔ
209.165.201.3:25
10.1.2.29
ᄌ឵ࠍరߦᚯߔ
209.165.201.3:80
10.1.2.28
ౝㇱ
SMTP ࠨ࡯ࡃ
10.1.2.29
HTTP ࠨ࡯ࡃ
10.1.2.28
130031
FTP ࠨ࡯ࡃ
10.1.2.27
この例について、次のコマンドを参照してください。
hostname(config)# static (inside,outside) tcp 209.165.201.3 ftp 10.1.2.27 ftp netmask
255.255.255.255
hostname(config)# static (inside,outside) tcp 209.165.201.3 http 10.1.2.28 http netmask
255.255.255.255
hostname(config)# static (inside,outside) tcp 209.165.201.3 smtp 10.1.2.29 smtp netmask
255.255.255.255
スタティック PAT を使用すると、予約済みポートから標準以外のポートへの変換や、その逆の変換も
可能です。たとえば、内部 Web サーバがポート 8080 を使用する場合、ポート 80 に接続することを外
部ユーザに許可し、その後、変換を元のポート 8080 に戻すことができます。同様に、セキュリティを
さらに高めるには、Web ユーザに標準以外のポート 6785 に接続するように指示し、その後、変換を
ポート 80 に戻すことができます。
この項では、スタティック ポート変換を設定する方法について説明します。スタティック PAT を使用
すると、実際の IP アドレスをマッピング IP アドレスに変換するとともに、実際のポートをマッピング
ポートに変換できます。実際のポートを同じポートに変換することを選択できます。これにより、特定
のタイプのトラフィックだけを変換できます。また、さらに別のポートに変換することもできます。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
30-2
OL-18970-01-J
第 30 章
スタティック PAT の設定
スタティック PAT のライセンス要件
スタティック PAT のライセンス要件
モデル
ライセンス要件
すべてのモデル
基本ライセンス
スタティック PAT の前提条件
スタティック PAT には次の前提条件があります。
拡張アクセスリストを設定する必要があります。access-list extended コマンドを使用して、拡張アクセス
リストを作成します (詳細については、第 11 章「拡張アクセスリストの追加」を参照してください)。
拡張アクセスリストを使用して、実際のアドレスと宛先 / 送信元アドレスを指定します。access-list
extended コマンドを使用して、拡張アクセスリストを作成します (第 11 章「拡張アクセスリストの
追加」を参照)。アクセスリストの最初のアドレスは実際のアドレスです。2 番目のアドレスは、送信元
アドレスまたは宛先アドレスで、トラフィックの発信源によって異なります。たとえば、実際のアドレ
ス 10.1.1.1 が 209.165.200.224 ネットワークにトラフィックを送信するときに、10.1.1.1 をマッピング
アドレス 192.168.1.1 に変換する場合、access-list コマンドと static コマンドは次のようになります。
hostname(config)# access-list TEST extended ip host 10.1.1.1 209.165.200.224
255.255.255.224
hostname(config)# static (inside,outside) 192.168.1.1 access-list TEST
この場合、2 番目のアドレスは宛先アドレスです。ただし、マッピング アドレスに接続を開始するため
に、ホストで同じコンフィギュレーションが使用されます。たとえば、209.165.200.224/27 ネット
ワークのホストが 192.168.1.1 に接続を開始するときは、アクセスリストの 2 番目のアドレスが送信元
アドレスになります。
このアクセスリストには、許可 ACE だけを含めます。eq 演算子を使用して、アクセスリストに実際の
ポートおよび宛先ポートをオプションで指定できます。ポリシー NAT は、inactive および time-range
キーワードを考慮しません。すべての ACE が、ポリシー NAT コンフィギュレーションに対してアク
ティブであると見なされます。詳細については、「ポリシー NAT」(P.26-5)を参照してください。
変換にネットワークを指定すると(10.1.1.0 255.255.255.0 など)、適応型セキュリティ アプライアン
スは、.0 および .255 のアドレスを変換します。これらのアドレスへのアクセスを禁止するには、アク
セスを拒否するようにアクセスリストを設定します。その他のオプションについては、第 28 章「ダイ
ナミック NAT および PAT の設定」を参照してください。
ガイドラインと制限事項
この項では、この機能のガイドラインと制限事項について説明します。
• 「コンテキスト モードのガイドライン」(P.30-3)
• 「ファイアウォール モードのガイドライン」(P.30-4)
• 「その他のガイドラインと制限事項」(P.30-4)
コンテキスト モードのガイドライン
• シングルコンテキスト モードとマルチコンテキスト モードでサポートされています。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
30-3
第 30 章
スタティック PAT の設定
デフォルト設定
ファイアウォール モードのガイドライン
• ルーテッド ファイアウォール モードと透過ファイアウォール モードでだけサポートされています。
その他のガイドラインと制限事項
スタティック PAT 機能には、次のガイドラインと制限事項が適用されます。
• スタティック変換は、単一ホストに、または IP サブネットに含まれるすべてのアドレスに定義で
きます。
• static コマンドで、同じマッピング インターフェイスの global コマンドでも定義されているマッ
ピング アドレスを使用しないでください。
• static コマンドを削除した場合、変換を使用している既存の接続は影響を受けません。これらの接
続を削除するには、clear local-host コマンドを入力します。
• clear xlate コマンドで変換テーブルからスタティック変換を消去することはできません。static コ
マンドを削除する必要があります。clear xlate コマンドでは、nat コマンドおよび global コマンド
で作成したダイナミック変換だけを削除できます。
• FTP でスタティック PAT を設定する場合、TCP ポート 20 と 21 の両方にエントリを追加する必要
があります。FTP トラフィック上で NAT を実行する他のデバイスを妨げる可能性があるため、
ポート 20 を指定して、アクティブな転送の送信元ポートが他のポートに変更されないようにする
必要があります。
デフォルト設定
表 30-1 に、スタティック PAT パラメータのデフォルト設定を示します。
表 30-1
スタティック PAT のデフォルト パラメータ
パラメータ
デフォルト
emb_limit
デフォルト値は 0(無制限)で、使用可能な最大
値となります。
tcp_max_cons
デフォルト値は 0(無制限)で、使用可能な最大
値となります。
udp_max_cons
デフォルト値は 0(無制限)で、使用可能な最大
値となります。
スタティック PAT の設定
この項では、スタティック ポート変換を設定する方法について説明します。次の項目を取り上げます。
• 「ポリシー スタティック PAT の設定」(P.30-4)
• 「標準スタティック PAT の設定」(P.30-6)
ポリシー スタティック PAT の設定
ポリシー スタティック PAT では、ルートマップを参照して、スタティック変換を開始する特定の条件
やポリシーを指定できます。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
30-4
OL-18970-01-J
第 30 章
スタティック PAT の設定
スタティック PAT の設定
スタティック PAT を設定するには、次のコマンドを入力します。
コマンド
目的
static (real_interface,mapped_interface)
{tcp | udp} {mapped_ip | interface}
mapped_port access-list acl_name [dns]
[norandomseq] [[tcp] tcp_max_conns
[emb_limit]] [udp udp_max_conns]
ルートマップを設定して、スタティック変換を開始するポリシーを指定し
ます。
Example:
hostname(config)# static (inside,outside)
tcp 10.1.2.14 telnet access-list TELNET
ます。
real_interface 引数には、実際の IP アドレス ネットワークに接続するイ
ンターフェイスの名前を指定し、mapped_interface 引数には、マッピン
グ IP アドレス ネットワークに接続するインターフェイスの名前を指定し
tcp または udp のいずれかでプロトコルを指定します。
mapped_ip 引数には、実際のアドレスから変換するアドレス(マッピング
IP アドレス ネットワークに接続するインターフェイス)を指定します。
interface キーワードは、インターフェイスの IP アドレスをマッピング ア
ドレスとして使用します。このキーワードは、インターフェイスのアドレ
スを使用するときに、そのアドレスが DHCP を使用してダイナミックに
割り当てられている場合に使用します。インターフェイスの IP アドレス
をスタティック PAT エントリに含めるときは、実際の IP アドレスを指定
する代わりに、interface キーワードを使用する必要があります。
mapped_port には、マッピングされた TCP ポートまたは UDP ポートを
指定します。ポートは、リテラル名、または 0 ~ 65535 の数字で指定で
きます。有効なポート番号については、次の Web サイトで確認できます。
http://www.iana.org/assignments/port-numbers
access-list キーワードと acl_id 引数は、拡張アクセスリストを使用して、
実際のアドレスと宛先 / 送信元アドレスを特定します。access-list
extended コマンドを使用して、拡張アクセスリストを作成します (詳細
については、第 11 章「拡張アクセスリストの追加」を参照してくださ
い)。このアクセスリストには、許可 ACE だけを含めます。アクセスリ
ストの送信元アドレスが、このコマンドの real_ip と一致することを確認
します。
オプションの dns キーワードは、この static コマンドに一致する DNS 応
答の A レコードまたはアドレス レコードをリライトします。マッピング
インターフェイスから他のインターフェイスに移動する DNS 応答では、
A レコードはマップされた値から実際の値へリライトされます。逆に、任
意のインターフェイスからマッピング インターフェイスに移動する DNS
応答では、A レコードは実際の値からマップされた値へリライトされま
す。この機能をサポートするために、DNS 検査をイネーブルにする必要
があります。
オプションの norandomseq キーワードは、TCP ISN ランダム化の保護を
ディセーブルにします。
オプションの tcp tcp_max_conns キーワードと引数には、ローカル ホス
トで許可された同時 TCP 接続の最大数を指定します。デフォルト値は 0
です。これは、接続が無制限であることを示します。
オプションの emb_limit 引数には、ホストごとの初期接続の最大数を指定
します。デフォルト値は 0 です。これは、初期接続が無制限であることを
示します。
オプションの udp udp_max_conns キーワードと引数には、ローカル ホス
トで許可された同時 UDP 接続の最大数を指定します。デフォルト値は 0
です。これは、接続が無制限であることを示します。
(コマンド オプションの詳細については、『Cisco Security Appliance
Command Reference』を参照してください。)
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
30-5
第 30 章
スタティック PAT の設定
スタティック PAT の設定
標準スタティック PAT の設定
スタティック PAT 変換では、グローバル アドレスの特定の UDP ポートまたは TCP ポートを、ローカ
ル アドレスの特定のポートに変換できます。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
30-6
OL-18970-01-J
第 30 章
スタティック PAT の設定
スタティック PAT の設定
標準スタティック PAT を設定するには、次のコマンドを入力します。
コマンド
目的
static (real_interface,mapped_interface)
{tcp | udp} {mapped_ip | interface}
mapped_port real_ip real_port [netmask
mask] [dns] [norandomseq] [[tcp]
tcp_max_conns [emb_limit]] [udp
udp_max_conns]
スタティック PAT を設定します。
例:
hostname(config)# static (inside,outside)
tcp 10.1.2.14 telnet 10.1.1.15 telnet
netmask 255.255.255.255
mapped_ip 引数には、実際のアドレスから変換するアドレス(マッピング
IP アドレス ネットワークに接続するインターフェイス)を指定します。
real_interface 引数には、実際の IP アドレス ネットワークに接続するイン
ターフェイスの名前を指定し、mapped_interface 引数には、マッピング IP
アドレス ネットワークに接続するインターフェイスの名前を指定します。
tcp または udp のいずれかでプロトコルを指定します。
interface キーワードは、インターフェイスの IP アドレスをマッピング ア
ドレスとして使用します。このキーワードは、インターフェイスのアドレ
スを使用するときに、そのアドレスが DHCP を使用してダイナミックに
割り当てられている場合に使用します。インターフェイスの IP アドレス
をスタティック PAT エントリに含めるときは、実際の IP アドレスを指定
する代わりに、interface キーワードを使用する必要があります。
mapped_port と real_port 引数には、マッピングされた、および実際の、
TCP ポートまたは UDP ポートを指定します。ポートは、リテラル名、ま
たは 0 ~ 65535 の数字で指定できます。有効なポート番号については、
次の Web サイトで確認できます。
http://www.iana.org/assignments/port-numbers
netmask mask オプションには、実際のアドレスとマッピング アドレスの
サブネット マスクを指定します。単一ホストでは、255.255.255.255 を使
用します。マスクを入力しない場合、1 つの例外を除き、IP アドレス ク
ラスのデフォルトのマスクが使用されます。マスキング後のホストビット
がゼロ以外の場合、255.255.255.255 のホスト マスクが使用されます。
real_ip の代わりに access-list キーワードを使用すると、アクセスリスト
で使用されるサブネット マスクも mapped_ip で使用されます。
dns オプションは、この static コマンドに一致する DNS 応答の A レコー
ドまたはアドレス レコードをリライトします。マッピング インターフェ
イスから他のインターフェイスに移動する DNS 応答では、A レコードは
マップされた値から実際の値へリライトされます。逆に、任意のインター
フェイスからマッピング インターフェイスに移動する DNS 応答では、A
レコードは実際の値からマップされた値へリライトされます。この機能を
サポートするために、DNS 検査をイネーブルにする必要があります。
norandomseq オプションは、TCP ISN ランダム化の保護をディセーブル
にします。
tcp tcp_max_conns オプションには、ローカル ホストで許可された同時
TCP 接続の最大数を指定します。デフォルト値は 0 です。これは、接続
が無制限であることを示します。
emb_limit オプションには、ホストごとの初期接続の最大数を指定します。
デフォルト値は 0 です。これは、初期接続が無制限であることを示します。
udp udp_max_conns オプションには、ローカル ホストで許可された同時
UDP 接続の最大数を指定します。デフォルト値は 0 です。これは、接続
が無制限であることを示します。
(コマンド オプションの詳細については、『Cisco Security Appliance
Command Reference』を参照してください。)
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
30-7
第 30 章
スタティック PAT の設定
スタティック PAT の監視
スタティック PAT の監視
スタティック PAT を監視するには、次のコマンドを入力します。
コマンド
目的
show running-config static
コンフィギュレーションですべての static コマン
ドを表示します。
スタティック PAT の設定例
この項では、ポリシー スタティック PAT と標準スタティック PAT の設定例を示します。次の項目を取
り上げます。
• 「ポリシー スタティック PAT の例」(P.30-8)
• 「標準スタティック PAT の例」(P.30-8)
• 「ポートのリダイレクトの例」(P.30-9)
ポリシー スタティック PAT の例
10.1.3.0 ネットワークのホストから開始された、適応型セキュリティ アプライアンス外部インター
フェイス(10.1.2.14)に向かう Telnet トラフィックを、内部ホスト 10.1.1.15 にリダイレクトできま
す。これには、次のコマンドを入力します。
hostname(config)# access-list TELNET permit tcp host 10.1.1.15 eq telnet 10.1.3.0
255.255.255.0
hostname(config)# static (inside,outside) tcp 10.1.2.14 telnet access-list TELNET
10.1.3.0 ネットワークのホストから開始された、適応型セキュリティ アプライアンス外部インター
フェイス(10.1.2.14)に向かう HTTP トラフィックを、内部ホスト 10.1.1.15 にリダイレクトできま
す。これには、次のコマンドを入力します。
hostname(config)# access-list HTTP permit tcp host 10.1.1.15 eq http 10.1.3.0
255.255.255.0
hostname(config)# static (inside,outside) tcp 10.1.2.14 http access-list HTTP
標準スタティック PAT の例
Telnet トラフィックを適応型セキュリティ アプライアンス外部インターフェイス(10.1.2.14)から内
部ホスト 10.1.1.15 にリダイレクトするには、次のコマンドを入力します。
hostname(config)# static (inside,outside) tcp 10.1.2.14 telnet 10.1.1.15 telnet netmask
255.255.255.255
ただし、上記の実際の Telnet サーバが接続を開始することを許可する場合は、変換を追加で指定する
必要があります。たとえば、その他のタイプのトラフィックをすべて変換するには、次のコマンドを入
力します。元の static コマンドでは、サーバに Telnet 用の変換が指定され、nat コマンドおよび global
コマンドでは、サーバからの発信接続用の PAT が指定されます。
hostname(config)# static (inside,outside) tcp 10.1.2.14 telnet 10.1.1.15 telnet netmask
255.255.255.255
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
30-8
OL-18970-01-J
第 30 章
スタティック PAT の設定
スタティック PAT の設定例
hostname(config)# nat (inside) 1 10.1.1.15 255.255.255.255
hostname(config)# global (outside) 1 10.1.2.14
すべての内部トラフィック用の別個の変換も設定していて、内部ホストが Telnet サーバと異なるマッ
ピング アドレスを使用する場合でも、サーバへの Telnet トラフィックを許可する static 文と同じマッ
ピング アドレスが使用されるように、Telnet サーバから開始されるトラフィックを設定できます。
Telnet サーバ専用に、より限定的な nat 文を作成する必要があります。nat 文の読み取りでは、最も適
合するものが求められるため、より限定的な nat 文が一般的な文より先に一致します。次の例は、
Telnet サーバから開始されたトラフィック用のより限定的な nat 文である Telnet static 文を示していま
す。また、その他の内部ホスト用の文も示しています。後者の文では、異なるマッピング アドレスが
使用されています。
hostname(config)#
255.255.255.255
hostname(config)#
hostname(config)#
hostname(config)#
hostname(config)#
static (inside,outside) tcp 10.1.2.14 telnet 10.1.1.15 telnet netmask
nat (inside) 1 10.1.1.15 255.255.255.255
global (outside) 1 10.1.2.14
nat (inside) 2 10.1.1.0 255.255.255.0
global (outside) 2 10.1.2.78
予約済みポート(80)を別のポート(8080)に変換するには、次のコマンドを入力します。
hostname(config)# static (inside,outside) tcp 10.1.2.45 80 10.1.1.16 8080 netmask
255.255.255.255
ポートのリダイレクトの例
図 30-3 に、ポート リダイレクション機能が効果的であるネットワーク設定の例を示します。
図 30-3
スタティック PAT を使用するポート リダイレクション
Telnet ࠨ࡯ࡃ
10.1.1.6
209.165.201.5
FTP ࠨ࡯ࡃ
10.1.1.3
10.1.1.1
Web ࠨ࡯ࡃ
10.1.1.5
ᄖㇱ
209.165.201.15
130030
Web ࠨ࡯ࡃ
10.1.1.7
ౝㇱ
209.165.201.25
この項で説明する構成では、ポート リダイレクションは、次のように外部ネットワーク上のホストに
対して実行されます。
• IP アドレス 209.165.201.5 に対する Telnet 要求が、10.1.1.6 にリダイレクトされる。
• IP アドレス 209.165.201.5 に対する FTP 要求が、10.1.1.3 にリダイレクトされる。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
30-9
第 30 章
スタティック PAT の設定
スタティック PAT の機能履歴
• 適応型セキュリティ アプライアンスの外部 IP アドレス 209.165.201.25 に対する HTTP 要求が、
10.1.1.5 にリダイレクトされる。
• PAT アドレス 209.165.201.15 に対する HTTP ポート 8080 の要求が、10.1.1.7 ポート 80 にリダイ
レクトされる。
このコンフィギュレーションを実装するには、次の手順を実行します。
ステップ 1
次のコマンドを入力して、内部ネットワークに対して PAT を設定します。
hostname(config)# nat (inside) 1 0.0.0.0 0.0.0.0 0 0
hostname(config)# global (outside) 1 209.165.201.15
ステップ 2
次のコマンドを入力して、209.165.201.5 に対する Telnet 要求を 10.1.1.6 にリダイレクトします。
hostname(config)# static (inside,outside) tcp 209.165.201.5 telnet 10.1.1.6 telnet netmask
255.255.255.255
ステップ 3
次のコマンドを入力して、IP アドレス 209.165.201.5 に対する FTP 要求を 10.1.1.3 にリダイレクトし
ます。
hostname(config)# static (inside,outside) tcp 209.165.201.5 ftp 10.1.1.3 ftp netmask
255.255.255.255
ステップ 4
次のコマンドを入力して、適応型セキュリティ アプライアンス外部インターフェイス アドレスに対す
る HTTP 要求を 10.1.1.5 にリダイレクトします。
hostname(config)# static (inside,outside) tcp interface www 10.1.1.5 www netmask
255.255.255.255
ステップ 5
次のコマンドを入力して、PAT アドレス 209.165.201.15 に対するポート 8080 での HTTP 要求を
10.1.1.7 ポート 80 にリダイレクトします。
hostname(config)# static (inside,outside) tcp 209.165.201.15 8080 10.1.1.7 www netmask
255.255.255.255
スタティック PAT の機能履歴
表 30-2 に、この機能のリリース履歴の一覧を示します。
表 30-2
スタティック PAT の機能履歴
機能名
リリース
機能情報
スタティック PAT
7.0
スタティック PAT 変換では、グローバル アドレスの特定
の UDP ポートまたは TCP ポートを、ローカル アドレスの
特定のポートに変換できます。
NAT とスタティック NAT
7.3.(1)
この機能が導入されました。
NAT は、透過ファイアウォール モードでサポートされて
います。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
30-10
OL-18970-01-J

 Download  Report

Paperzz.com

Your Paperzz

© Copyright 2026 Paperzz