ンチデバイスを設定している場合は省略してください)。
[edit]
root# set security log mode event event-rate 1000
4. NSM
へのロギングを設定します。システムログとセキュリティログを適切にロギングするためには、次のエントリーは必須です。
[edit]
root# set system syslog file default-log-messages structured-data [edit]
root# set system syslog file default-log-messages any any
以上です。これで、最初のセキュリティポリシーを実行して、それらを ロギングする方法も習得できました。次は、ポリシーから出て宛先に 向かうパケットの準備方法について学習します。
第 7 章
ソース NAT の設定
NATのタイプ . . . 70
出力インタフェースを使用したソースNATの設定. . . .73
変換プールを使用したソースNATの設定. . . 75
デフォルトでは、SRXへの入力パケットは宛先にルーティングされま す。このことは、セッションテーブルを調べれば簡単に確認できます。
例えば、前に実行したテストのshow security flow sessionコマンド の結果(一部省略)では、フローの
1
つについて次のことが明らかに なりました。[edit security policies]
root# run show security flow session
Session ID:100001790, Policy name: admins_to_untrust/4, Timeout:1800 In:192.168.2.2/4781 --> 209.239.112.126/80;tcp, If: ge-0/0/0.0 Out:209.239.112.126/80 --> 192.168.2.2/4781;tcp, If: ge-0/0/2.0
<省略>
この出力は、送信元
IP
アドレスが192.168.2.2
、宛先が209.239.112.126
の入力パケットであることを示しています。応答トラフィックは、パケッ トの送信元が209.239.112.126
で、宛先がトランザクションの送信元 とまったく同じIP
アドレス、192.168.2.2であることを示しています。この例のように、送信元と宛先の
IP
アドレスが変わらない場合は、ト ラフィックが変換(NAT)されたのではなく、ルーティングされたこと を示しています。NAT のタイプ
SRX
には、送信元と宛先のヘッダーをさまざまな形式で変換する機 能があります。変換オプションは、送信元、宛先、スタティックです。この章では、入力パケットが
SRX
から出て行くときに、その送信元IP
を変換するソースNAT
を設定する方法を示します。このような変 換を実行するときは、さまざまなオプションが使用可能です。例えば、送信元
IP
が出力インタフェースのIP
に変換されるように設定するこ とや、ポートアドレス変換を使用せずにIP
アドレスの別のプールを使用することができ、その他にもいくつかのオプションがあります。
図
7.1
は、ソースNAT
の一例を示しています。送信元IP
をge-0/0/2
インタフェースのIP
に変換するほかに、SRXでは、送信元ポートも変 換します(デフォルトではポートアドレス変換またはPAT
を実行)。送 信元IP
を変換すると、単一のIP
アドレスを数千〜数万のホストで共 有できます。一方で、送信元ポートを変換すると、SRXでは、特定の フローを誰が開始したかを追跡することや、接続を開いたホストに対し て応答トラフィックを渡すことができます。第7章:ソースNATの設定 71
図
7.1
出力インタフェースを使用するソースNAT
ソース
NAT
は、多数のホストへのインターネットアクセスを可能にす るようには設定されていません。実際に、SRXで提供されている変 換タイプには、「インターネット」や「信頼できるセグメント」という 概念はありません。SRXはゾーンに焦点を合わせているため、その 観点から、さまざまなNAT
サービスを設定するときは、トラフィック のコンテキスト(送信元ゾーンと宛先ゾーン)について考えてくださ い。コンテキストを定義したら、何をしたいかを決定します。送信元IP
の変換でしょうか。宛先IP
の変換でしょうか。それとも両方でしょ うか。この質問の答えが、設定する必要のあるNAT
のタイプを決定 する際に役立ちます。コンソールに戻る前に、NATがセキュリティポリシーから分離され ていることを認識しておくことが重要です。つまり、設定は別の階層、
[edit security nat]の下で行われるということです。これにより、セ キュリティポリシーに影響を与えずにレイヤー
3
の動作を再設定でき るため、管理者にとっての柔軟性が大幅に向上します。警告 ここで混乱しないでください。トラフィックが
SRX
を通過するために は、セキュリティポリシーを設定する必要があります。ソースNAT
の 設定はセキュリティポリシーに非常によく似ていますが、これによって トラフィックの通過が許可されるわけではありません。セキュリティポ リシーによって許可されたトラフィックを操作しているだけです。ソース
NAT
の次のシナリオを設定しましょう。
出力インタフェースのIP
アドレスを使用する。
変換プールを使用する。
トラフィックを除外するルールを作成する。さまざまなシナリオをコミットするときは、showコマンドを使用して、
正確性と動作を確認してください。正確かどうかを確認するには、次 のコマンドに使用可能なパラメータを指定してください。
root# run show security nat source ? Possible completions:
persistent-nat-table Show persistent NAT table information pool Show source NAT information of this pool rule Show source NAT rule-set information summary Show source NAT summary information
実際の動作は、本書で前述したように、show security flow session
コマンドを使用して確認できます。このコマンドを使用する場合は、
応答の宛先
IP
アドレスがどのように変わるかに細心の注意を払ってく ださい。このコマンドでは、次のような複数のパラメータを使用して、出力をフィルタリングできます。
root# run show security flow session ? Possible completions:
<[Enter]> Execute this command
application Show session for specified application or application set destination-port Show each session that uses specified destination port destination-prefix Show each session that matches destination prefix idp Show IDP sessions
interface Show each session that uses specified interface protocol Show each session that uses specified IP protocol resource-manager Show resource-manager sessions
session-identifier Show session with specified session identifier source-port Show each session that uses specified source port source-prefix Show each session that matches source prefix summary Show summary of sessions
tunnel Show tunnel sessions | Pipe through a command
第7章:ソースNATの設定 73
出力インタフェースを使用したソース NAT の設定
ここでは、入力パケットの送信元
IP
アドレスを「untrust」ゾーン(ge-0/0/2)の出力インタフェースの
IP
アドレスに変換し、「admins」ゾーンのホストにインターネットアクセスを許可するソース
NAT
を設 定します。本書のネットワークトポロジーである図
2.2
を参照して、次の例を十 分に理解してください。出力インタフェースを使用してソース
NAT
を設定するには:1.
ソースNAT
のルールセットを作成します。このルールセットで何を 実行するのか分かるよう、意味のある名前を付けます。[edit]
root# edit security nat source rule-set internet_nat
2.
トラフィックのコンテキストを定義します。どこから来て、どこへ行く トラフィックでしょうか。[edit security nat source rule-set internet_nat]
root# set from zone admins
[edit security nat source rule-set internet_nat]
root# set to zone untrust