Fortinet商品など
FortiGateのNAPTの設定について
FortiGateにおけるNAPT(Network Address and Port Translation)の設定について、網羅的かつ実践的な視点で解説します。
NAPTとは?
NAPT(Network Address and Port Translation)は、複数の内部IPアドレスを1つのグローバルIPアドレスに変換しつつ、ポート番号も変換することで通信の整合性を保つNATの一種です。
FortiGateでは、一般的に「NAT」という名称でNAPTを実現します。
これは、家庭や企業のネットワークでインターネット接続を共有する最も一般的な方法です。
FortiGateでのNAPT設定の概要
FortiGateではNAPTを設定するには、主に以下の3ステップが必要です。
- インターフェース設定
- ポリシー設定(Firewall Policy)
- SNAT(Source NAT)設定
ステップ1:インターフェース設定(WANインターフェース)
NAPTを行うためには、外部(WAN)インターフェースにグローバルIPアドレスが設定されている必要があります。
設定例(CLI)
config system interface
edit "wan1"
set ip 203.0.113.1/24
set allowaccess ping https ssh
next
end
GUIでも「Network」→「Interfaces」から設定可能。
ステップ2:ポリシー設定(Firewall Policy)
FortiGateではファイアウォールポリシーにNAT設定を組み込むことでNAPTを実現します。
設定例(CLI)
config firewall policy
edit 1
set name "Internet Access"
set srcintf "internal"
set dstintf "wan1"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ALL"
set nat enable
next
end
GUIでの操作
- 「Policy & Objects」→「IPv4 Policy」
- 「Create New」でポリシーを作成
- NATの項目で「Use Outgoing Interface Address」にチェック → これがNAPT設定
ステップ3:NAPT(Source NAT)有効化
ポリシー内で set nat enable を指定することで、自動的にNAPT(Port Address Translationを含む)が行われます。
デフォルトでは「出力インターフェースのIPアドレス」を使って変換しますが、必要に応じて明示的にIPプール(IP Pool)を使用することもできます。
IP Poolを使う場合
config firewall ippool
edit "mypool"
set startip 203.0.113.10
set endip 203.0.113.20
next
end
config firewall policy
edit 1
set srcintf "internal"
set dstintf "wan1"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ALL"
set nat enable
set ippool enable
set poolname "mypool"
next
end
NAPTの動作確認
NAPTが正しく動作しているか確認するには以下の方法があります。
CLIでセッション確認
diagnose sys session list
→ snat としてポート変換されたセッションが表示されます。
ログ確認
- 「Log & Report」→「Forward Traffic」
- ログを有効にしていれば、送信元ポート変換が確認可能
NAPTがうまくいかないときのチェックポイント
| チェック項目 | 内容 |
|---|---|
| NATが有効になっているか? | ポリシーで set nat enable があるか確認 |
| インターフェースのIP設定 | WAN側に正しいグローバルIPが設定されているか |
| ポリシーの順序 | 上位のポリシーが該当トラフィックをブロックしていないか |
| セッション数の制限 | セッションテーブルの上限を超えていないか |
| ルーティング設定 | 内部→外部へのルートが正しく設定されているか |
| DNSの解決 | クライアントがDNSで名前解決できているか(ネットアクセス時に重要) |
まとめ:FortiGateでのNAPT設定の要点
| 項目 | 説明 |
|---|---|
| インターフェース | WAN側にグローバルIPを設定 |
| ファイアウォールポリシー | 内部→外部への許可を設定し、NAT enable を有効化 |
| ポート変換 | デフォルトで自動実行。必要なら IP Pool を使ってカスタマイズ可能 |
| 動作確認 | CLIやログでセッション変換の状況を確認可能 |
補足:静的NATとNAPTの違い
| 項目 | 静的NAT(1:1 NAT) | NAPT(動的PAT) |
|---|---|---|
| IPアドレス変換 | 固定 | 動的(ポート番号も変換) |
| ポート番号の変換 | しない | する |
| 主な用途 | サーバー公開など | クライアントのインターネットアクセス |
以上、FortiGateのNAPTの設定についてでした。
最後までお読みいただき、ありがとうございました。
商品カテゴリから探す
「安心のセキュリティをお得な価格」でご提供!
Fortinet商品など
受付時間 / 9:00~17:00 定休日 / 土・日・祝
【大阪本社】
〒531-0072
大阪市北区豊崎3-19-3
ピアスタワー6階
電話番号:06-6359-5533
FAX番号:06-6359-5534
【東京支店】
〒104-0032
東京都中央区八丁堀3-25-8
八丁堀陽光ビル3階A
電話番号:03-6823-1313
【福岡支店】
〒812-0038
福岡市博多区祇園町8-13
第一プリンスビル1階
(The Company キャナルシティ博多前)
電話番号:092-600-1222
