【CheckPointR77.30】検証記⑩(StaticNAT)
ファイアーウォールで有名なCheckPoint社の R77.30について、少し検証する必要があったため、その備忘録。
なお、以降記載の手順は、検証目的のため、必ずしも正規の手順ではないかもしれませんので、ご了承ください。
目次
- 目次
- 前回までの前提
- DMZにWebサーバの配置
- Webサーバ用のオブジェクトとStaticNAT用のオブジェクトの作成
- Webサーバへのアクセス用ルール
- Webサーバへの内部ネットワークからのアクセス
- Webサーバへの外部ネットワークからのアクセス
前回までの前提
前回までで、構成の概要を決めながら、
Gaiaのインストールを3台実施し、
さらに、マネージメントサーバを構築し、
ファイアーウォールゲートウェイ(2台)を構築し、
IPアドレスを設定し、
staticルーティングまでを設定し、
Checkpoint管理コンソール製品「SmartConsole」をインストールし、
ファイアーウォールクラスタの構築を行い、
HideNATの設定を行った。
以降では、宛先アドレスの変換を行うため、「StaticNAT」を実施する。
DMZにWebサーバの配置
まず、DMZ(ここでは、「172.16.1.0」)ネットワークに Webサーバを構築する。
DMZネットワーク上に、Webサーバを用意し、(ここでは、「172.16.1.20」)
Apacheサービスを起動しておく。
Webサーバ用のオブジェクトとStaticNAT用のオブジェクトの作成
Webサーバ用のオブジェクト実体を作成する。
次に、外部(ここでは、「192.168.3.0」)ネットワークからのアクセス用のオブジェクト (ここでは、「192.168.3.80」だが、通常はグローバル用IP用のオブジェクトになるだろう。)を作成し、
作成した外部(ここでは、「192.168.3.0」)ネットワークからのアクセス用のオブジェクトに、 (「192.168.3.80」→ 「172.16.1.20(Webサーバの実体オブジェクト」)への StaticNAT(宛先のアドレス変換を実施する(グローバルIP→プライベートIPへのアドレス変換イメージ)
Webサーバへのアクセス用ルール
以下のルールを作成する。
- ①内部ネットワーク→Webサーバへの実体(「172.16.1.20(Webサーバの実体オブジェクト」)へのhttpアクセス。
- ②外部ネットワーク→StaticNAT用のオブジェクト(「192.168.3.80(Webサーバの実体へStaticNATを行うオブジェクト」)へのhttpアクセス。
Webサーバへの内部ネットワークからのアクセス
内部ネットワーク→Webサーバへの実体(「172.16.1.20(Webサーバの実体オブジェクト」)へのhttpアクセスを行う。 アクセス要件としては、下記の通り。
- ①送信元:192.168.1.45
- ②宛先:172.16.1.20
Webサーバへアクセスができることを確認する。
Webサーバ側のアクセスログを確認する。 アクセスログの送信元アドレスが、「172.16.1.250」になっていることがわかる。 ここでは、「172.16.1.250」は、ファイアーウォールクラスタのVIPであるため、 送信元アドレスが、ファイアーウォールクラスタの送信元アドレスに変換されないようにする。
具体的には、内部ネットワーク(ここでは、「192.168.1.0」)から、 DMZネットワーク(ここでは、「172.16.1.0」)へのアクセス時、 送信元アドレスが、ファイアーウォールクラスタのVIPではなく、 オリジナルの送信元アドレス(ここでは、「192.168.1.0」)になるように NAT変換設定を行う。
再度、Webサーバへアクセスする。
Webサーバ側のアクセスログを確認する。 このとき、ファイアーウォールクラスタのVIPとなっていた 送信元アドレスが、オリジナルの送信元アドレス (ここでは、「192.168.1.45」)になっていることを 確認する。
Webサーバへの外部ネットワークからのアクセス
外部ネットワーク→StaticNAT用のオブジェクト(「192.168.3.80(Webサーバの実体へStaticNATを行うオブジェクト」)への
httpアクセスを行う。 アクセス要件としては、下記の通り。
- ①送信元:192.168.3.5
- ②宛先:192.168.3.80(⇒Webサーバへの実体(「172.16.1.20」)へStaticNATされる)
外部ネットワークから、StaticNAT用のオブジェクト「192.168.3.80」へアクセスできることを 確認する。
ファイアーウォール側のログを確認し、 192.168.3.80(⇒Webサーバへの実体(「172.16.1.20」)へStaticNATされていることを 確認する。