<h2 id="napt(ip%E3%83%9E%E3%82%B9%E3%82%AB%E3%83%AC%E3%83%BC%E3%83%89)%E3%81%A8%E3%81%AF..." data-line="0" class="code-line">
<a class="header-anchor-link" href="#napt(ip%E3%83%9E%E3%82%B9%E3%82%AB%E3%83%AC%E3%83%BC%E3%83%89)%E3%81%A8%E3%81%AF..." aria-hidden="true"></a> NAPT(IPマスカレード)とは...</h2>
<p data-line="2" class="code-line">NAPT(IPマスカレード)とはとは、1つのグローバルIPアドレスをLAN内の複数の機器で共有してインターネットに接続できるようにする機能です。</p>
<p data-line="4" class="code-line">NAPT（Network Address Port Translation）と IPマスカレード は同じものを指します。<br>
（NAPTは一般的な技術名で、IPマスカレードはLinuxでの機能名です。）</p>
<p data-line="7" class="code-line">ちなみにマスカレード（Masquerading）は「仮装」「変装」という意味で、プライベートIPがグローバルIPに成りすますような感じに見えるためそう呼ばれています。</p>
<h2 id="%E7%9B%AE%E7%9A%84" data-line="9" class="code-line">
<a class="header-anchor-link" href="#%E7%9B%AE%E7%9A%84" aria-hidden="true"></a> 目的</h2>
<p data-line="10" class="code-line">プライベートネットワークにあるサーバ（インターネット側への疎通がない）から、NAPT設定を入れたサーバを経由してインターネット側へアクセスできるようにする。</p>
<hr data-line="12" class="code-line">
<h2 id="%E5%AE%9F%E6%96%BD%E7%92%B0%E5%A2%83" data-line="14" class="code-line">
<a class="header-anchor-link" href="#%E5%AE%9F%E6%96%BD%E7%92%B0%E5%A2%83" aria-hidden="true"></a> 実施環境</h2>
<h3 id="%E3%82%B5%E3%83%BC%E3%83%90os" data-line="16" class="code-line">
<a class="header-anchor-link" href="#%E3%82%B5%E3%83%BC%E3%83%90os" aria-hidden="true"></a> サーバOS</h3>
<p data-line="18" class="code-line">Fedora Server 40</p>
<p data-line="20" class="code-line">※ Firewalldが使用できればなんでもよかったのですが、とりあえずRedHat系であるFedoraをチョイス。デフォルトで<code>Firewalld</code>がインストールされており、すぐに使用できます。</p>
<h3 id="%E6%A7%8B%E6%88%90" data-line="22" class="code-line">
<a class="header-anchor-link" href="#%E6%A7%8B%E6%88%90" aria-hidden="true"></a> 構成</h3>
<p data-line="24" class="code-line">今回は<code>Proxy Server</code>と<code>Application Server</code>の二つのサーバを用意します。</p>
<ul data-line="26" class="code-line">
<li data-line="26" class="code-line">
<code>Proxy Server</code> : インターネットと疎通可能なeth3と、内部ネットワークと疎通可能なeth2が接続されています</li>
<li data-line="27" class="code-line">
<code>Application Server</code> : 内部ネットワークと疎通可能なeth1が接続されています</li>
</ul>
<span class="embed-block zenn-embedded zenn-embedded-mermaid"><iframe id="zenn-embedded__e1af256accd4e" src="https://embed.zenn.studio/mermaid#zenn-embedded__e1af256accd4e" data-content="flowchart%20LR%0A%0A%25%25%E5%A4%96%E9%83%A8%E8%A6%81%E7%B4%A0%E3%81%AEUser%0AOU1%5BInternet%5D%0A%0A%25%25%E3%82%B0%E3%83%AB%E3%83%BC%E3%83%97%E3%81%A8%E3%82%B5%E3%83%BC%E3%83%93%E3%82%B9%0Asubgraph%20GC%5BServer%5D%0A%20%20subgraph%20GS1%5BProxy%20Server%5D%0A%20%20%20%20NW1%7B%7B%22eth3%3Cbr%3E172.27.100.1%22%7D%7D%0A%20%20%20%20NW2%7B%7B%22eth2%3Cbr%3E192.168.100.1%22%7D%7D%0A%20%20end%0A%20%20subgraph%20GS2%5BApplication%20Server%5D%0A%20%20%20%20NW3%7B%7B%22eth1%3Cbr%3E192.168.100.2%22%7D%7D%0A%20%20end%0Aend%0A%0A%25%25%E3%82%B5%E3%83%BC%E3%83%93%E3%82%B9%E5%90%8C%E5%A3%AB%E3%81%AE%E9%96%A2%E4%BF%82%0AOU1%20%3C--%3E%20NW1%0ANW1%20%3C--%3E%20NW2%0ANW2%20%3C--%3E%20NW3%0A%0A%25%25%E3%82%B0%E3%83%AB%E3%83%BC%E3%83%97%E3%81%AE%E3%82%B9%E3%82%BF%E3%82%A4%E3%83%AB%0AclassDef%20SGC%20fill%3Anone%2Ccolor%3A%23345%2Cstroke%3A%23345%0Aclass%20GC%20SGC%0A%0AclassDef%20SGPuS%20fill%3Acadetblue%2Ccolor%3A%23fff%2Cstroke%3Anone%0Aclass%20GS1%20SGPuS%0A%0AclassDef%20SGPrS%20fill%3A%23d778a9%2Ccolor%3A%23fff%2Cstroke%3Anone%0Aclass%20GS2%20SGPrS%0A%0A%25%25%E3%82%B5%E3%83%BC%E3%83%93%E3%82%B9%E3%81%AE%E3%82%B9%E3%82%BF%E3%82%A4%E3%83%AB%0AclassDef%20SOU%20fill%3A%23aaa%2Ccolor%3A%23fff%2Cstroke%3A%23fff%0Aclass%20OU1%20SOU%0A%0AclassDef%20SNW_1%20fill%3A%23e7ad57%2Ccolor%3A%23fff%2Cstroke%3Anone%0Aclass%20NW1%20SNW_1%0A%0AclassDef%20SNW_2%20fill%3A%2384d%2Ccolor%3A%23fff%2Cstroke%3Anone%0Aclass%20NW2%20SNW_2%0A%0AclassDef%20SNW_3%20fill%3A%2384d%2Ccolor%3A%23fff%2Cstroke%3Anone%0Aclass%20NW3%20SNW_3" frameborder="0" scrolling="no" loading="lazy"></iframe></span><h2 id="%E5%AE%9F%E8%A3%85" data-line="75" class="code-line">
<a class="header-anchor-link" href="#%E5%AE%9F%E8%A3%85" aria-hidden="true"></a> 実装</h2>
<p data-line="76" class="code-line">Proxy Serverをルーターと見立てて、firewalldを利用したNAPT設定を行います。<br>
またApplication Serverでは、デフォルトゲートウェイにProxy Serverを指定することで通信時に経由するようになります。</p>
<h3 id="%E2%97%86-proxy-server-%E5%81%B4%E3%81%AE%E8%A8%AD%E5%AE%9A" data-line="79" class="code-line">
<a class="header-anchor-link" href="#%E2%97%86-proxy-server-%E5%81%B4%E3%81%AE%E8%A8%AD%E5%AE%9A" aria-hidden="true"></a> ◆ Proxy Server 側の設定</h3>
<h4 id="1.-iptables-%E3%81%AE%E7%84%A1%E5%8A%B9%E5%8C%96" data-line="81" class="code-line">
<a class="header-anchor-link" href="#1.-iptables-%E3%81%AE%E7%84%A1%E5%8A%B9%E5%8C%96" aria-hidden="true"></a> 1. iptables の無効化</h4>
<p data-line="83" class="code-line"><code>firewalld</code>による設定の前に、<code>iptables</code>とのルールの競合を避けるため無効化します。</p>
<div class="code-block-container"><pre class="language-bash"><code class="language-bash code-line" data-line="85">$ systemctl disable <span class="token parameter variable">--now</span> iptables
</code></pre></div><h4 id="2.-%E3%82%BE%E3%83%BC%E3%83%B3%E3%81%AE%E7%A2%BA%E8%AA%8D" data-line="89" class="code-line">
<a class="header-anchor-link" href="#2.-%E3%82%BE%E3%83%BC%E3%83%B3%E3%81%AE%E7%A2%BA%E8%AA%8D" aria-hidden="true"></a> 2. ゾーンの確認</h4>
<p data-line="91" class="code-line">外部ネットワーク側に繋がるインターフェース（et3）が<code>public</code>になっていることを確認します。</p>
<div class="code-block-container"><pre class="language-bash"><code class="language-bash code-line" data-line="93">$ firewall-cmd --get-active-zone
public
  interfaces: eth2
public
  interfaces: eth3
</code></pre></div><h4 id="3.-%E3%82%BE%E3%83%BC%E3%83%B3%E3%81%AE%E5%A4%89%E6%9B%B4" data-line="101" class="code-line">
<a class="header-anchor-link" href="#3.-%E3%82%BE%E3%83%BC%E3%83%B3%E3%81%AE%E5%A4%89%E6%9B%B4" aria-hidden="true"></a> 3. ゾーンの変更</h4>
<p data-line="103" class="code-line">内部ネットワーク側に繋がるインターフェース（eth2）と外部に繋がるインターフェース（eth3）をexternalに変更します。</p>
<div class="code-block-container"><pre class="language-bash"><code class="language-bash code-line" data-line="105">$ firewall-cmd --change-interface<span class="token operator">=</span>eth2 <span class="token parameter variable">--zone</span><span class="token operator">=</span>external <span class="token parameter variable">--permanent</span>
$ firewall-cmd --change-interface<span class="token operator">=</span>eth3 <span class="token parameter variable">--zone</span><span class="token operator">=</span>external <span class="token parameter variable">--permanent</span>
</code></pre></div><p data-line="110" class="code-line">正しく変更されたか確認します。</p>
<div class="code-block-container"><pre class="language-bash"><code class="language-bash code-line" data-line="112">$ firewall-cmd --get-active-zone
external
  interfaces: eth2 eth3
</code></pre></div><h4 id="4.-%E3%82%BE%E3%83%BC%E3%83%B3%E3%81%AE%E8%A8%AD%E5%AE%9A" data-line="118" class="code-line">
<a class="header-anchor-link" href="#4.-%E3%82%BE%E3%83%BC%E3%83%B3%E3%81%AE%E8%A8%AD%E5%AE%9A" aria-hidden="true"></a> 4. ゾーンの設定</h4>
<p data-line="120" class="code-line">externalはデフォルトでNAPTを許可しています。<br>
下記のように<code>masquerade: yes</code>となっていればOKです。</p>
<div class="code-block-container"><pre class="language-bash"><code class="language-bash code-line" data-line="123">$ firewall-cmd --list-all <span class="token parameter variable">--zone</span><span class="token operator">=</span>external
external <span class="token punctuation">(</span>active<span class="token punctuation">)</span>
  target: default
  ingress-priority: <span class="token number">0</span>
  egress-priority: <span class="token number">0</span>
  icmp-block-inversion: no
  interfaces: ens160 ens224
  sources: 
  services: <span class="token function">ssh</span>
  ports: 
  protocols: 
  forward: <span class="token function">yes</span>
  masquerade: <span class="token function">yes</span>
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules:
</code></pre></div><p data-line="143" class="code-line">※<code>masquerade: no</code>となっていたらexternal ゾーンに NAPTの設定をします。</p>
<div class="code-block-container"><pre class="language-bash"><code class="language-bash code-line" data-line="145"><span class="token comment"># external ゾーンにIPマスカレードを設定</span>
$ firewall-cmd <span class="token parameter variable">--permanent</span> <span class="token parameter variable">--zone</span><span class="token operator">=</span>external --add-masquerade
</code></pre></div><h4 id="5.-%E5%A4%96%E9%83%A8%E3%83%8D%E3%83%83%E3%83%88%E3%83%AF%E3%83%BC%E3%82%AF%E3%82%A4%E3%83%B3%E3%82%BF%E3%83%BC%E3%83%95%E3%82%A7%E3%83%BC%E3%82%B9%E5%81%B4%E3%81%AE%E8%A8%AD%E5%AE%9A" data-line="150" class="code-line">
<a class="header-anchor-link" href="#5.-%E5%A4%96%E9%83%A8%E3%83%8D%E3%83%83%E3%83%88%E3%83%AF%E3%83%BC%E3%82%AF%E3%82%A4%E3%83%B3%E3%82%BF%E3%83%BC%E3%83%95%E3%82%A7%E3%83%BC%E3%82%B9%E5%81%B4%E3%81%AE%E8%A8%AD%E5%AE%9A" aria-hidden="true"></a> 5. 外部ネットワークインターフェース側の設定</h4>
<p data-line="152" class="code-line">外部ネットワークに繋がるインターフェース（eth3）に NAPTの適用を行います。</p>
<div class="code-block-container"><pre class="language-bash"><code class="language-bash code-line" data-line="154">$ firewall-cmd <span class="token parameter variable">--permanent</span> <span class="token parameter variable">--direct</span> --add-rule ipv4 nat POSTROUTING <span class="token number">0</span> <span class="token parameter variable">-o</span> eth3 <span class="token parameter variable">-j</span> MASQUERADE
</code></pre></div><h4 id="6.-%E3%82%A4%E3%83%B3%E3%82%BF%E3%83%BC%E3%83%95%E3%82%A7%E3%83%BC%E3%82%B9%E9%96%93%E3%81%AE%E8%A8%AD%E5%AE%9A" data-line="158" class="code-line">
<a class="header-anchor-link" href="#6.-%E3%82%A4%E3%83%B3%E3%82%BF%E3%83%BC%E3%83%95%E3%82%A7%E3%83%BC%E3%82%B9%E9%96%93%E3%81%AE%E8%A8%AD%E5%AE%9A" aria-hidden="true"></a> 6. インターフェース間の設定</h4>
<p data-line="160" class="code-line">２つのインターフェース間のパケット転送を許可します。<br>
一つ目が行きパケットの許可で、二つ目が戻りパケットの許可設定となります。</p>
<div class="code-block-container"><pre class="language-bash"><code class="language-bash code-line" data-line="163">$ firewall-cmd <span class="token parameter variable">--permanent</span> <span class="token parameter variable">--direct</span> --add-rule ipv4 filter FORWARD <span class="token number">0</span> <span class="token parameter variable">-i</span> eth2 <span class="token parameter variable">-o</span> eth3 <span class="token parameter variable">-j</span> ACCEPT
$ firewall-cmd <span class="token parameter variable">--permanent</span> <span class="token parameter variable">--direct</span> --add-rule ipv4 filter FORWARD <span class="token number">0</span> <span class="token parameter variable">-i</span> eth3 <span class="token parameter variable">-o</span> eth2 <span class="token parameter variable">-m</span> state <span class="token parameter variable">--state</span> RELATED,ESTABLISHED <span class="token parameter variable">-j</span> ACCEPT
</code></pre></div><h4 id="7.-%E5%86%8D%E8%B5%B7%E5%8B%95%E3%80%81%E7%A2%BA%E8%AA%8D" data-line="168" class="code-line">
<a class="header-anchor-link" href="#7.-%E5%86%8D%E8%B5%B7%E5%8B%95%E3%80%81%E7%A2%BA%E8%AA%8D" aria-hidden="true"></a> 7. 再起動、確認</h4>
<p data-line="170" class="code-line"><code>Firewalld</code>を再起動し設定を反映させます。</p>
<aside class="msg message"><span class="msg-symbol">!</span><div class="msg-content">
<p data-line="173" class="code-line">通常は<code>ip_forward</code>も有効化する必要がありますが、NAPTを有効にすると自動的に有効になります。</p>
</div></aside>
<div class="code-block-container"><pre class="language-bash"><code class="language-bash code-line" data-line="176">$ firewall-cmd <span class="token parameter variable">--reload</span>
success

<span class="token comment"># 確認</span>
$ firewall-cmd <span class="token parameter variable">--zone</span><span class="token operator">=</span>internal --query-masquerade
<span class="token function">yes</span>
$ firewall-cmd <span class="token parameter variable">--direct</span> --get-all-rules
ipv4 nat POSTROUTING <span class="token number">0</span> <span class="token parameter variable">-o</span> eth3 <span class="token parameter variable">-j</span> MASQUERADE
ipv4 filter FORWARD <span class="token number">0</span> <span class="token parameter variable">-i</span> eth2 <span class="token parameter variable">-o</span> eth3 <span class="token parameter variable">-j</span> ACCEPT
ipv4 filter FORWARD <span class="token number">0</span> <span class="token parameter variable">-i</span> eth3 <span class="token parameter variable">-o</span> eth2 <span class="token parameter variable">-m</span> state <span class="token parameter variable">--state</span> RELATED,ESTABLISHED <span class="token parameter variable">-j</span> ACCEPT

<span class="token comment"># 1 -&gt; IP Forward有効, 0 -&gt; IP Forward無効</span>
$ <span class="token function">cat</span> /proc/sys/net/ipv4/ip_forward
<span class="token number">1</span>
</code></pre></div><h3 id="%E2%97%86-application-server-%E5%81%B4%E3%81%AE%E8%A8%AD%E5%AE%9A" data-line="193" class="code-line">
<a class="header-anchor-link" href="#%E2%97%86-application-server-%E5%81%B4%E3%81%AE%E8%A8%AD%E5%AE%9A" aria-hidden="true"></a> ◆ Application Server 側の設定</h3>
<h4 id="1.-%E3%83%87%E3%83%95%E3%82%A9%E3%83%AB%E3%83%88%E3%82%B2%E3%83%BC%E3%83%88%E3%82%A6%E3%82%A7%E3%82%A4%E3%83%BBdns%E3%81%AE%E8%A8%AD%E5%AE%9A" data-line="195" class="code-line">
<a class="header-anchor-link" href="#1.-%E3%83%87%E3%83%95%E3%82%A9%E3%83%AB%E3%83%88%E3%82%B2%E3%83%BC%E3%83%88%E3%82%A6%E3%82%A7%E3%82%A4%E3%83%BBdns%E3%81%AE%E8%A8%AD%E5%AE%9A" aria-hidden="true"></a> 1. デフォルトゲートウェイ・DNSの設定</h4>
<p data-line="197" class="code-line">eth1のをデフォルトゲートウェイを、<code>Proxy Server</code>の<code>192.168.100.10</code>として設定します。<br>
また、DNSを<code>8.8.8.8</code>等に設定します（DNSサーバがある場合はそちらを設定）。</p>
<div class="code-block-container"><pre class="language-bash"><code class="language-bash code-line" data-line="200">$ nmtui
</code></pre></div><h4 id="2.-%E7%96%8E%E9%80%9A%E7%A2%BA%E8%AA%8D" data-line="204" class="code-line">
<a class="header-anchor-link" href="#2.-%E7%96%8E%E9%80%9A%E7%A2%BA%E8%AA%8D" aria-hidden="true"></a> 2. 疎通確認</h4>
<div class="code-block-container"><pre class="language-bash"><code class="language-bash code-line" data-line="206">$ <span class="token function">ping</span> <span class="token number">8.8</span>.8.8
$ <span class="token function">curl</span> https://www.google.com
</code></pre></div><h2 id="%E3%81%8A%E3%82%8F%E3%82%8A%E3%81%AB" data-line="211" class="code-line">
<a class="header-anchor-link" href="#%E3%81%8A%E3%82%8F%E3%82%8A%E3%81%AB" aria-hidden="true"></a> おわりに</h2>
<p data-line="213" class="code-line">Fedoraを初めて使用しましたが、よく使う機能が最適化されていて汎用的な検証をするのにとても使い勝手が良いと感じました。</p>


Firewalld による NAPT(IPマスカレード)

Discussion