Cisco の PIX/ASA ファイアーウォールの NAT に関してマニュアル等に例としてよく出てくるのは、インターネット (グローバルアドレス) と社内 (プライベートアドレス) の間の通信でプライベートアドレスは当然インターネット側に流れないけれど、社内にグローバルアドレスは入ってくるという NAT の例です。しかし、社内からグローバルアドレスを排除しプライベートアドレスのみ流すようアドレス空間を完全に分けてしまいたい時があります場合もあります。この時に static NAT を設定する方法を備忘録としてまとめます。完全にアドレス空間を分けたいのはインターネット接続よりもグループ企業間接続の場合などでしょうが、説明は社内 (プライベートアドレス)／社外 (グローバルアドレス) と想定して説明します。

社内の 192.168.0.1 というコンピュータＡが社外の 1.1.1.1 というコンピュータＢと通信することを想定します。それぞれ NAT 用に 1.1.1.10 と 192.168.0.10 というアドレスを用意します。 private IP address 192.168.0.1 を global IP address 1.1.1.10 にマップするには以下のコマンドを打てとマニュアルにあります。

これで、

が変換処理の対象になります。ところで、例えば社外のコンピュータＢから 1.1.1.10 に telnet した場合、通信が許可されていればコンピュータＡに telnet することができます。この段階では、コンピュータＡからはＢの実アドレス 1.1.1.1 からの通信に見えます。これを 192.168.0.10 からの通信に見えるようにするためには、

と実行します。すると

も変換処理対象になります。これで完全にアドレスを分割することができました。ACL は適用するインターフェイスが inside ならば内側のアドレス空間で、 outside ならば外側のアドレス空間を用いて書きます。