【CheckPointR77.30】検証記⑩（StaticNAT）

ファイアーウォールで有名なCheckPoint社の R77.30について、少し検証する必要があったため、その備忘録。

なお、以降記載の手順は、検証目的のため、必ずしも正規の手順ではないかもしれませんので、ご了承ください。

目次
前回までの前提
DMZにWebサーバの配置
Webサーバ用のオブジェクトとStaticNAT用のオブジェクトの作成
Webサーバへのアクセス用ルール
Webサーバへの内部ネットワークからのアクセス
Webサーバへの外部ネットワークからのアクセス

前回までの前提

前回までで、構成の概要を決めながら、

mytracking.hatenablog.com

Gaiaのインストールを３台実施し、

mytracking.hatenablog.com

さらに、マネージメントサーバを構築し、

mytracking.hatenablog.com

ファイアーウォールゲートウェイ（2台）を構築し、

mytracking.hatenablog.com

IPアドレスを設定し、

mytracking.hatenablog.com

staticルーティングまでを設定し、

mytracking.hatenablog.com

Checkpoint管理コンソール製品「SmartConsole」をインストールし、

mytracking.hatenablog.com

ファイアーウォールクラスタの構築を行い、

mytracking.hatenablog.com

HideNATの設定を行った。

mytracking.hatenablog.com

以降では、宛先アドレスの変換を行うため、「StaticNAT」を実施する。

DMZにWebサーバの配置

まず、DMZ(ここでは、「172.16.1.0」)ネットワークに Webサーバを構築する。

DMZネットワーク上に、Webサーバを用意し、(ここでは、「172.16.1.20」)

Apacheサービスを起動しておく。

Webサーバ用のオブジェクトとStaticNAT用のオブジェクトの作成

Webサーバ用のオブジェクト実体を作成する。

次に、外部（ここでは、「192.168.3.0」）ネットワークからのアクセス用のオブジェクト（ここでは、「192.168.3.80」だが、通常はグローバル用IP用のオブジェクトになるだろう。）を作成し、

作成した外部（ここでは、「192.168.3.0」）ネットワークからのアクセス用のオブジェクトに、（「192.168.3.80」→　「172.16.1.20(Webサーバの実体オブジェクト」）への StaticNAT（宛先のアドレス変換を実施する（グローバルIP→プライベートIPへのアドレス変換イメージ）

Webサーバへのアクセス用ルール

以下のルールを作成する。

①内部ネットワーク→Webサーバへの実体（「172.16.1.20(Webサーバの実体オブジェクト」）へのhttpアクセス。
②外部ネットワーク→StaticNAT用のオブジェクト（「192.168.3.80(Webサーバの実体へStaticNATを行うオブジェクト」）へのhttpアクセス。

Webサーバへの内部ネットワークからのアクセス

内部ネットワーク→Webサーバへの実体（「172.16.1.20(Webサーバの実体オブジェクト」）へのhttpアクセスを行う。アクセス要件としては、下記の通り。

①送信元：192.168.1.45
②宛先：172.16.1.20

Webサーバへアクセスができることを確認する。

Webサーバ側のアクセスログを確認する。アクセスログの送信元アドレスが、「172.16.1.250」になっていることがわかる。ここでは、「172.16.1.250」は、ファイアーウォールクラスタのVIPであるため、送信元アドレスが、ファイアーウォールクラスタの送信元アドレスに変換されないようにする。

具体的には、内部ネットワーク（ここでは、「192.168.1.0」）から、 DMZネットワーク（ここでは、「172.16.1.0」）へのアクセス時、送信元アドレスが、ファイアーウォールクラスタのVIPではなく、オリジナルの送信元アドレス（ここでは、「192.168.1.0」）になるように NAT変換設定を行う。