【paloalto】CLIでNATポリシーを設定してみた

paloaltoでNATポリシーをCLIで設定してみました。

今回は仮想アプライアンスとして palaolto を利用しており、PAN-OSは [10.2.0] を利用しています。

NATポリシーを設定する（送信元NAT）
1. [参考] 送信元NATの指定(スタティックIPの指定)
[参考] NATポリシーを設定する（宛先NAT）

NATポリシーを設定する（送信元NAT）

今回はNATポリシーの中でも送信元NATを設定します。

以下のコマンドで設定可能です。
コマンドはコンフィグレーションモードで実行してください。

 #NATポリシーの作成
set rulebase nat rules ＜NATポリシー名＞

 #送信元ゾーンの指定
set rulebase nat rules ＜NATポリシー名＞ from ＜送信元ゾーン名＞

 #宛先ゾーンの指定
set rulebase nat rules ＜NATポリシー名＞ to ＜宛先ゾーン名＞

 #送信元アドレスの指定
set rulebase nat rules ＜NATポリシー名＞ source ＜any or 送信元IPアドレス or アドレスオブジェクト/グループ＞

 #宛先アドレスの指定
set rulebase nat rules ＜NATポリシー名＞ destination ＜any or 送信元IPアドレス or アドレスオブジェクト/グループ＞

 #サービスの指定
set rulebase nat rules ＜NATポリシー名＞ service ＜any or サービスオブジェクト/グループ＞

 #送信元NATの指定(ダイナミックIPおよびポートの指定)
set rulebase nat rules ＜NATポリシー名＞ source-translation dynamic-ip-and-port interface-address interface ＜インターフェースのポート番号＞ ip ＜インターフェースのIP＞

・記載例

 #NATポリシーの作成
set rulebase nat rules nat-policy01

 #送信元ゾーンの指定
set rulebase nat rules nat-policy01 from trust

 #宛先ゾーンの指定
set rulebase nat rules nat-policy01 to untrust

 #送信元アドレスの指定
set rulebase nat rules nat-policy01 source 10.0.0.0/8

 #宛先アドレスの指定
set rulebase nat rules nat-policy01 destination any

 #サービスの指定
set rulebase nat rules nat-policy01 service any

 #送信元NATの指定(ダイナミックIPおよびポートの指定)
set rulebase nat rules nat-policy01 source-translation dynamic-ip-and-port interface-address interface ethernet1/1 ip 10.0.0.70/26

今回は送信元NATの設定で「ダイナミックIPおよびポート」を指定しています。
設定の確認は以下のコマンドで確認できます。

show rulebase nat rules

・実行結果

hogeuser@host1# show rulebase nat rules
rules {
  nat-policy01 {
    from trust;
    to untrust;
    source 10.0.0.0/8;
    destination any;
    service any;
    source-translation {
      dynamic-ip-and-port {
        interface-address {
          interface ethernet1/1;
          ip 10.0.0.70/26;
        }
      }
    }
  }
}
[edit]
hogeuser@host1#

設定後はコミットするのを忘れないようにしてください。

[参考] 送信元NATの指定(スタティックIPの指定)

送信元NATの設定で「スタティックIP」を指定する場合には以下のコマンドを利用します。

set rulebase nat rules ＜NATポリシー名＞ source-translation static-ip translated-address ＜IPアドレスレンジ or アドレスオブジェクト/グループ＞

・記載例

set rulebase nat rules nat-policy01 source-translation static-ip translated-address 100.100.100.100/32

[参考] NATポリシーを設定する（宛先NAT）

NATポリシーの中で宛先NATを設定する場合には以下のコマンドを利用します。

 #変換先アドレスの指定
set rulebase nat rules ＜NATポリシー名＞ destination-translation translated-address ＜IPアドレスレンジ or アドレスオブジェクト/グループ＞

 #変換先ポートの指定
set rulebase nat rules ＜NATポリシー名＞ destination-translation translated-port ＜ポート番号（1~65535）＞

・記載例

 #変換先アドレスの指定
set rulebase nat rules nat-policy01 destination-translation translated-address 10.0.0.4/32

 #変換先ポートの指定
set rulebase nat rules nat-policy01 destination-translation translated-port 80