【Paloalto】NATポリシーをCLIで設定してみた

Paloalto Paloalto
この記事は約6分で読めます。

PaloaltoでNATポリシーをCLIで設定してみました。

今回は仮想アプライアンスとして palaolto を利用しており、PAN-OSは [11.2.8] を利用しています。

広告

1.NATポリシーをCLIで設定する(SourceNAT(SNAT))

今回はNATポリシーの中でもSourceNATを設定します。

以下のコマンドで設定可能です。
コマンドはコンフィグレーションモードで実行してください。

 # コンフィグレーションモードに変更
configure

 # NATポリシーの作成
set rulebase nat rules nat-policy01

 # 送信元ゾーンの指定
set rulebase nat rules nat-policy01 from Trust

 # 宛先ゾーンの指定
set rulebase nat rules nat-policy01 to Untrust

 # 送信元アドレスの指定(any or 送信元IPアドレス or アドレスオブジェクト/グループ)
set rulebase nat rules nat-policy01 source 10.0.0.0/8

 # 宛先アドレスの指定(any or 送信元IPアドレス or アドレスオブジェクト/グループ)
set rulebase nat rules nat-policy01 destination any

 # サービスの指定(any or サービスオブジェクト/グループ)
set rulebase nat rules nat-policy01 service any

 # 送信元NATの指定(ダイナミックIPおよびポートの指定)
set rulebase nat rules nat-policy01 source-translation dynamic-ip-and-port interface-address interface ethernet1/1 ip 10.0.0.68/26

 # コミットする
commit

今回はSourceNATの設定で「ダイナミックIPおよびポート」を指定しています。
設定の確認は以下のコマンドで確認できます。

 # NATポリシーの設定確認
show rulebase nat rules

1-1.実行結果(NATポリシーの設定確認)

hogeuser@host1# show rulebase nat rules
rules {
  nat-policy01 {
    from Trust;
    to Untrust;
    source 10.0.0.0/8;
    destination any;
    service any;
    source-translation {
      dynamic-ip-and-port {
        interface-address {
          interface ethernet1/1;
          ip 10.0.0.68/26;
        }
      }
    }
  }
}
[edit]
hogeuser@host1#

設定後はコミットするのを忘れないようにしてください。

1-2. [参考] 送信元NATの指定(スタティックIPの指定)

送信元NATの設定で「スタティックIP」を指定する場合には以下のコマンドを利用します。

 # スタティックIPを指定する場合(IPアドレスレンジ or アドレスオブジェクト/グループ)
set rulebase nat rules nat-policy01 source-translation static-ip translated-address 100.100.100.100/32

2.[参考] NATポリシーを設定する(DestinationNAT(DNAT))

NATポリシーの中で宛先NATを設定する場合には以下のコマンドを利用します。

 # DNAT用のポリシー作成
set rulebase nat rules nat-policy02

 # 送信元ゾーンの指定
set rulebase nat rules nat-policy02 from Untrust

 # 宛先ゾーンの指定
set rulebase nat rules nat-policy02 to Trust

 # 送信元アドレスの指定(any or 送信元IPアドレス or アドレスオブジェクト/グループ)
set rulebase nat rules nat-policy02 source any

 # 宛先アドレスの指定(any or 送信元IPアドレス or アドレスオブジェクト/グループ)
set rulebase nat rules nat-policy02 destination 10.0.0.4/32

 # サービスの指定(any or サービスオブジェクト/グループ)
set rulebase nat rules nat-policy02 service any

 # 変換先アドレスの指定(IPアドレスレンジ or アドレスオブジェクト/グループ)
set rulebase nat rules nat-policy02 destination-translation translated-address 10.0.0.4/32

 # 変換先ポートの指定(ポート番号(1~65535))
set rulebase nat rules nat-policy02 destination-translation translated-port 80

コミットも忘れないようにしましょう。

先ほどと同じ「show rulebase nat rules」で設定内容を確認できます。

hogeuser@host1# show rulebase nat rules
rules {
  nat-policy01 {
    source-translation {
      dynamic-ip-and-port {
        interface-address {
          interface ethernet1/1;
          ip 10.0.0.68/26;
        }
      }
    from Trust;
    to Untrust;
    source 10.0.0.0/8;
    destination any;
    service any;
    }
  }
  nat-policy02 {
    destination-translation {
      translated-address 10.0.0.4/32;
      translated-port 80;
    }
    from Untrust;
    to Trust;
    source any;
    destination 10.0.0.4/32;
    service any;
  }
}
[edit]
hogeuser@host1#

これでDNATのNATポリシーも追加されたことが分かります。

広告