MENU
「安心のセキュリティをお得な価格」でご提供!
Fortinet商品など
Fortinet商品など
FortiGateの送信元natについて
FortiGate(フォーティゲート)の送信元NAT(Source NAT, SNAT)は、内部ネットワーク(LAN)から外部ネットワーク(例えばインターネット)にトラフィックを送信する際、送信元IPアドレスを変換(マスカレード)する機能です。
この変換によって、プライベートIPを持つ端末がグローバルIPを使って外部と通信できるようになります。
以下では、FortiGateにおける送信元NATの仕組み、設定方法、動作原理、応用ケースについて、順を追って詳しく解説します。
FortiGateにおける送信元NATの役割
なぜ必要?
- プライベートIPはインターネットで使用できないため、インターネットへ出る際はグローバルIPに変換する必要があります。
- 複数の端末からのアクセスを1つのグローバルIPにまとめることができ、IP節約にもなります。
FortiGateの送信元NATの動作原理
NATの基本的な流れ
| 項目 | 説明 |
|---|---|
| 送信元アドレス | 内部端末(例:192.168.1.10) |
| 宛先アドレス | 外部サーバ(例:8.8.8.8) |
| NAT変換後の送信元 | FortiGateのWANインターフェースのIP(例:203.0.113.1) |
FortiGateのSNATでは2通りのNAT方式が使えます
- IPマスカレード(Dynamic SNAT):
- 複数の内部IP → 1つの外部IPへ変換。
- ソースポートも変更される(PAT: Port Address Translation)。
- Static SNAT(スタティックNAT):
- 固定のIPアドレス変換を行う。
- 内部IP A → 外部IP X、内部IP B → 外部IP Y など。
送信元NATの設定方法(GUI編)
FortiOS GUI(例:v7.x)での設定手順
- ポリシー & オブジェクト → IPv4ポリシー に移動
- 「新規作成」でポリシーを作成
- 必要な項目を入力:
- 送信元:LANのサブネット(例:192.168.1.0/24)
- 宛先:
allまたは特定のインターネット先 - インターフェース:
送信元インターフェース: LAN側宛先インターフェース: WAN側
- NATにチェックを入れる
- 「使用するIPアドレスを指定」しない場合 → 動的SNAT(マスカレード)
- 「IPプールの使用」にチェック → スタティックNATや複数IPのラウンドロビンが可能
CLIでの送信元NAT設定(例)
config firewall policy
edit 1
set name "Outbound to Internet"
set srcintf "lan"
set dstintf "wan1"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ALL"
set nat enable
next
end
もしIPプールを使いたい場合(特定のIPで出る)
config firewall ippool
edit "mypool"
set startip 203.0.113.2
set endip 203.0.113.5
set type overload
next
end
config firewall policy
edit 2
set srcintf "lan"
set dstintf "wan1"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ALL"
set nat enable
set ippool enable
set poolname "mypool"
next
end
SNATとDNATの違い
| 項目 | SNAT(送信元NAT) | DNAT(宛先NAT) |
|---|---|---|
| 主な用途 | 内部 → 外部 通信用 | 外部 → 内部 通信用 |
| 変換対象 | 送信元IP | 宛先IP |
| 使用例 | 社内PCのインターネットアクセス | Webサーバ公開など |
応用ケース
IPごとに異なるSNATを設定
- DMZや部門ネットワークで異なるグローバルIPを使い分けたい場合に、IP Pool+ポリシーを併用。
ログや監査のためにSNAT先を固定したい
- 特定の内部サーバからの通信だけを特定のグローバルIPにするなど。
SNATを使いたくない(例:VPNやプロキシの通信)
- 送信元IPが重要なケースではNATを無効化したポリシーを作成することも可能。
SNATのトラブルシューティングTips
| 問題例 | チェックポイント |
|---|---|
| インターネットに出られない | NAT有効か?ルーティングは? |
| 期待と異なるIPで通信されている | IPプールの設定確認 |
| 接続数が多く、タイムアウトが出る | IPプール数とポート制限確認(overload対策) |
| ポリシーでNATを無効にしたい | set nat disableを使用 |
まとめ
| 要点 | 内容 |
|---|---|
| 主な役割 | 内部IPをグローバルIPに変換し、外部通信を可能にする |
| 基本方式 | マスカレード(動的SNAT)、固定IP変換(静的SNAT) |
| 設定箇所 | ポリシーの「NATを有効にする」+必要に応じてIPプール |
| 応用 | 通信元ごとのIP指定、ログ対策、複数IPによる負荷分散など |
| トラブル対処 | NAT設定の有無、ルートの確認、SNATの使用IPアドレスの確認 |
以上、FortiGateの送信元natについてでした。
最後までお読みいただき、ありがとうございました。
商品カテゴリから探す
「安心のセキュリティをお得な価格」でご提供!
Fortinet商品など
受付時間 / 9:00~17:00 定休日 / 土・日・祝
【大阪本社】
〒531-0072
大阪市北区豊崎3-19-3
ピアスタワー6階
電話番号:06-6359-5533
FAX番号:06-6359-5534
【東京支店】
〒104-0032
東京都中央区八丁堀3-25-8
八丁堀陽光ビル3階A
電話番号:03-6823-1313
【福岡支店】
〒812-0038
福岡市博多区祇園町8-13
第一プリンスビル1階
(The Company キャナルシティ博多前)
電話番号:092-600-1222
