プライベート ネットワーク上のデバイスが要求した場合、NAT ファイアウォールは、インターネット トラフィックがゲートウェイを通過することを許可します。一方的に送信された要求またはデータ パケットは破棄され、危険な可能性のあるデバイスとの通信が阻止されます。
Tier-1 ゲートウェイに SNAT とゲートウェイ ファイアウォール (GWFW) の両方が構成されており、GWFW がステートフルに構成されていない場合は、Tier-1 ゲートウェイのアドバタイズされたサブネットに NO SNAT を構成する必要があります。構成しなかった場合、これらのサブネットの IP アドレスへのトラフィックは失敗します。
以下の例では、T1-A がゲートウェイで、接続しているサブネット 192.168.1.0/0 から 10.1.1.1 にトラフィックを変換する SNAT ルールが構成されています。
次に、いくつかのトラフィック シナリオを示します。
- VM-A/192.168.1.1 から開始されたトラフィックス ストリームは、ゲートウェイ ファイアウォールの状態(ステートフル、ステートレス、無効)に関係なく、送信元 IP アドレスとして 10.1.1.1 に変換されます。VM-C または VM-B からのトラフィックがそのフローに戻ると、宛先 IP アドレスは 10.1.1.1 になります。T1-A はそのアドレスを SNAT フローと照合し、VM-A に戻るように正しく変換します。SNAT ルールは期待どおり動作し、問題はありません。
- VM-B/20.1.1.1 は、VM-A/192.168.1.1 へのトラフィック フローを開始します。ここでは、T1-A にステートフル ファイアウォールがある場合とファイアウォールまたはステートフル ファイアウォールがない場合で動作が異なります。ファイアウォール ルールは、VM-B と VM-A 間のトラフィックを許可します。このシナリオでは、192.168.1.0/24 を 20.1.1.0/24 に一致させる、トラフィックの NO-NAT ルールを構成します。この NO-NAT ルールが存在する場合、動作に違いはありません。
- T1-A にステートフル ファイアウォールがある場合、T1-A ファイアウォールは、VM-B/20.1.1.1 から VM-A/192.168.1.1 への TCP SYN パケットのファイアウォール接続エントリを作成します。VM-A が応答すると、T1-A は応答パケットをステートフル接続エントリと照合し、SNAT 変換なしで VM-A/192.168.1.1 から VM-B/20.1.1.1 にトラフィックを転送します。これは、戻りトラフィックがファイアウォール接続エントリと一致すると、ファイアウォールが SNAT ルックアップをスキップするためです。
- T1-A でファイアウォールが無効かステートレスの場合、T1-A ファイアウォールはステートレスまたはファイアウォールのない状態になるため、ファイアウォール接続エントリを作成しないで TCP-SYN パケットを VM-B/20.1.1.1 から VM-A/192.168.1.1 に転送します。VM-A/192.168.1.1 が VM-B/20.1.1.1 に応答を返すと、T1-A はファイアウォール接続エントリがないことを確認し、SNAT を実行して送信元 IP アドレスを VM-A/192.168.1.1 から 10.1.1.1 に変換します。この応答が VM-B に返されると、送信元 IP アドレスが VM-A/192.168.1.1 ではなく 10.1.1.1 であるため、VM-B はトラフィックをドロップします。