ソース IP アドレスをパブリックからプライベート IP アドレスへ、またはその逆方向へ変更するには、ソース NAT (SNAT) ルールを作成します。ターゲット IP アドレスをパブリックからプライベート IP アドレスへ、またはその逆方向へ変更するには、ターゲット NAT (DNAT) ルールを作成します。

NAT ルールを作成するときには、次の形式を使用して、元の IP アドレスと変換先の IP アドレスを指定できます。

  • IP アドレス。たとえば、192.0.2.0 とします。
  • IP アドレス範囲。たとえば、192.0.2.0-192.0.2.24 とします。
  • IP アドレス/サブネット マスク。たとえば、192.0.2.0/24 とします。
  • any

VMware Cloud Director 環境の Edge Gateway で SNAT ルールまたは DNAT ルールを設定する場合は、常に組織仮想データセンターの観点からルールを設定します。SNAT ルールでは、組織仮想データセンター ネットワークから外部ネットワークまたは別の組織仮想データセンター ネットワークに送信されるパケットのソース IP アドレスを変換します。DNAT ルールでは、外部ネットワークまたは別の組織仮想データセンター ネットワークから送信されて組織仮想データセンター ネットワークで受信されるパケットの IP アドレスを変換し、オプションでそのポートを変換します。

前提条件

パブリック IP アドレスを、ルールを追加する NSX Data Center for vSphere Edge Gateway インターフェイスに追加しておく必要があります。DNAT ルールの場合、元の(パブリック)IP アドレスを Edge ゲートウェイ インターフェイスに追加しておく必要があります。SNAT ルールの場合、変換先の(パブリック)IP アドレスを Edge ゲートウェイ インターフェイスに追加しておく必要があります。

手順

  1. Edge Gateway サービスを開きます。
    1. 上部ナビゲーション バーで [ネットワーク ]をクリックし、[Edge Gateway] をクリックします。
    2. 編集する Edge Gateway を選択し、[サービス] をクリックします。
  2. [NAT] をクリックして、[NAT ルール] 画面を表示します。
  3. どのタイプの NAT ルールを作成しているかに応じて、[DNAT ルール] または [SNAT ルール] をクリックします。
  4. ターゲット NAT ルール(外部から内部へ)を構成します。
    オプション 説明
    適用対象 ルールを適用するインターフェイスを選択します。
    元の IP/範囲

    必要な IP アドレスを入力するか、リストから割り当てられた IP アドレスを選択します。

    このアドレスは、DNAT ルールを設定する Edge ゲートウェイのパブリック IP アドレスにする必要があります。検査対象のパケットでは、この IP アドレスまたはアドレス範囲がパケットのターゲット IP アドレスとして表示されます。これらのパケット ターゲット アドレスは、この DNAT ルールによって変換されたものです。

    プロトコル ルールを適用するプロトコルを選択します。このルールをすべてのプロトコルに適用するには、[任意] を選択します。
    元のポート (オプション)仮想マシンが接続されている内部ネットワークに接続するために Edge ゲートウェイで受信トラフィックが使用するポートまたはポート範囲を選択します。これは、[プロトコル][ICMP] または [任意] に設定されているときには選択できません。
    ICMP タイプ [プロトコル][ICMP](デバイス間でエラー情報を通信するために使用されるエラー報告と診断のユーティリティ)を選択する場合は、ドロップダウン メニューから [ICMP タイプ] を選択します。

    ICMP メッセージは、タイプのフィールドで識別されます。デフォルトで、[ICMP タイプ] は [任意] に設定されています。

    変換された IP/範囲 着信パケット上のターゲット アドレスの変換先となる IP アドレスまたは IP アドレス範囲を入力します。

    これらのアドレスは、外部ネットワークからトラフィックを受信できるように DNAT を設定している 1 台以上の仮想マシンの IP アドレスです。

    変換されたポート (オプション)内部ネットワークの仮想マシン上で着信トラフィックが接続しているポートまたはポート範囲を選択します。仮想マシンに着信したパケットは、DNAT ルールによってこれらのポートに変換されます。
    ソース IP アドレス ルールを特定のドメインのトラフィックにのみ適用する場合、このドメインの IP アドレスまたは IP アドレス範囲を CIDR 形式で入力します。このテキスト ボックスを空白のままにすると、DNAT ルールはローカル サブネット内のすべての IP アドレスに適用されます。
    ソース ポート (オプション)ソースのポート番号を入力します。
    説明 (オプション)DNAT ルールのわかりやすい説明を入力します。
    有効 このルールを有効にするには、オンに切り替えます。
    ログの有効化 このルールによって実行されたアドレス変換をログに記録するには、オンにします。
  5. ソース NAT ルール(内部から外部へ)を構成します。
    オプション 説明
    適用対象 ルールを適用するインターフェイスを選択します。
    元のソース IP/範囲 このルールに適用する元の IP アドレスまたは IP アドレスの範囲を入力するか、割り当てられた IP アドレスをリストから選択します。

    これらのアドレスは、外部ネットワークにトラフィックを送信できるように SNAT ルールを設定している 1 台以上の仮想マシンの IP アドレスです。

    変換されたソース IP/範囲 必要な IP アドレスを入力します。

    このアドレスは、常に SNAT ルールを設定するゲートウェイのパブリック IP アドレスにする必要があります。外部ネットワークにトラフィックを送信するときに、発信パケット上のソース アドレス(仮想マシン)が変換される IP アドレスを指定します。

    ターゲット IP アドレス (オプション)ルールを特定のドメインへのトラフィックにのみ適用する場合、このドメインの IP アドレスまたは IP アドレス範囲を CIDR 形式で入力します。このテキスト ボックスを空白のままにすると、SNAT ルールはローカル サブネット外のすべてのターゲットに適用されます。
    ターゲット ポート (オプション)ターゲットのポート番号を入力します。
    説明 (オプション)SNAT ルールのわかりやすい説明を入力します。
    有効 このルールを有効にするには、オンに切り替えます。
    ログの有効化 このルールによって実行されたアドレス変換をログに記録するには、オンにします。
  6. [保持] をクリックして、画面上のテーブルにルールを追加します。
  7. 設定するルールごとに、この手順を繰り返します。
  8. [変更を保存] をクリックして、システムにルールを保存します。

次のタスク

設定した SNAT ルールまたは DNAT ルールに対応する Edge ゲートウェイ ファイアウォール ルールを追加します。VMware Cloud Director Tenant Portalでの NSX Data Center for vSphere Edge Gateway ファイアウォール ルールの追加を参照してください。