スタティックNAT完全ガイド:仕組み・設定例(Cisco/Linux)と運用・セキュリティ上の注意点
エバープレイ編集部はじめに — スタティックNATとは何か
スタティックNAT(Static Network Address Translation)は、プライベートIPアドレスとパブリックIPアドレスを1対1で恒久的に対応付けるアドレス変換の方式です。内部ネットワーク上のサーバや機器に対して、外部から固定のグローバルIPで到達させたいときに用いられます。ここでは仕組み、用途、設定の考え方、利点・欠点、運用上の留意点などを詳しく掘り下げます。
スタティックNATの定義と基本特性
- 1対1の恒久的マッピング:ある内部(プライベート)IPアドレスが常に特定の外部(グローバル)IPアドレスに変換されます。変換は双方向(送信元/宛先)で一貫します。
- 固定性:動的に割り当てられるダイナミックNATやポート変換(PAT/NATオーバーロード)と違い、マッピングは管理者が明示的に設定・維持します。
- 目的:外部からのアクセスを受けるサーバ(Web、メール、VPN、リモート管理等)を明確なグローバルIPで公開する際に利用されます。
内部処理の流れ(概念)
典型的なスタティックNATのフローは以下の通りです。
- 外部クライアントが目的IP(グローバルIP)へパケットを送る。
- 境界のルータ/ファイアウォール(NAT実行機)が宛先IPを対応する内部IPへ書き換え(DNAT)、内部ネットワークへ転送する。
- 内部サーバからの返信では、送信元IPを対応するグローバルIPに書き換え(SNAT)して外部へ返す。
要するに「外向き/内向き」のどちらの方向でも同じ1対1の対応が使われるため、外部→内部、内部→外部ともに期待どおりに通信が成立します。
スタティックNATと他のNAT方式の比較
- ダイナミックNAT:プールされたグローバルIPを内部ホストに対して動的に割り当てる。期間限定のマッピングで、サーバ公開などには不向き。
- PAT(NATオーバーロード):多数の内部ホストを1つ(または少数)のグローバルIPでポート番号を使って多重化する。クライアント側の外向き接続には効率的だが、外部から個別ホストへ固定IPでアクセスする用途には適さない。
- スタティックNAT:1対1の固定マッピングにより外部からの到達性を保証する点で優れるが、グローバルIPを多く消費する。
主な利用ケース(ユースケース)
- インターネット上に公開するサーバ(Web、メール、DNS、FTPなど)を固定のグローバルIPで提供する場合。
- リモート管理(SSH、RDP等)で特定ホストへ常に同じIPからアクセスしたい場合。
- VPN終端装置など、外部から固定IPで到達する必要がある機器。
- オンプレミスとクラウド間でIPベースのACLやフィルタリングを行うとき(相手側で固定IPを前提に許可設定する等)。
- 社内のDNSと外部DNSで異なる応答(split-horizon DNS)を使う場合に、外部向けIPと内部IPを明確に分離したいケース。
設定例(概念と代表的なコマンド)
機器やOSによって設定方法は異なりますが、代表的な例を概念的に示します。実際の運用では機器のマニュアルに従ってください。
- Cisco IOS(概念):ip nat inside source static 192.168.1.100 203.0.113.10
(このコマンドは内部IP 192.168.1.100 を外部IP 203.0.113.10 に1対1でマッピングする)
- Cisco ASA(概念):static (inside,outside) 203.0.113.10 192.168.1.100 netmask 255.255.255.255
(ASA上での静的NAT設定の一例)
- Linux(iptablesの例、DNAT/SNATを組合せる)
- 外向き到達(外部→内部):iptables -t nat -A PREROUTING -d 203.0.113.10 -j DNAT --to-destination 192.168.1.100
- 戻り(内部→外部):iptables -t nat -A POSTROUTING -s 192.168.1.100 -j SNAT --to-source 203.0.113.10
- Juniper(概念):set security nat static rule-set ... source-address ... translation static-nat …
上記は代表例であり、実際のACLやファイアウォールルール、ルーティング設定(逆方向の経路確保)も合わせて必要です。
メリット・デメリット
- メリット
- 外部から常に同じIPで到達できるため、サーバ公開に最適。
- 単純で理解しやすく、トラブルシュートもしやすい。
- ログやトラフィック監査をIP単位で追跡しやすい。
- デメリット
- グローバルIPv4アドレスを多く消費する(IPv4枯渇時のコストが高い)。
- エンドツーエンドの原則を壊し、アプリケーションやプロトコルによっては問題を生じる(パッシブFTPや一部SIPの問題など)。
- 運用負荷:複数の静的マッピングを管理する必要がある。
運用上の注意点とよくある問題
- ルーティングとの整合性:グローバルIPへ来たパケットがNAT装置へ確実に到達するよう、ISP側の経路やBGP設定(マルチホーミング時)を確認する必要があります。
- ファイアウォール/ACL:静的NATでIPを書き換えても、ファイアウォール規則やACLは別途設定しないと通信を遮断する場合があるため、NAT後のパケットに対する許可設定が必要です。
- ヘアピン(NATループバック):内部ホストが公開したグローバルIPを経由して同一ネットワーク内のサーバへアクセスする場合、NAT装置がループバックをサポートしていないと接続できない。必要ならヘアピンNATを有効化するか、内部DNSで内部IPを返す(split-horizon DNS)などの対策を取ります。
- ログと監査:どの内部ホストがどの外部IPを使っていたかを正しく記録するため、NATテーブルの状態監視やログ設定を行うことが重要です。
- 冗長化と状態同期:冗長構成のNAT装置を使う場合、スタティックマッピング自体は同期しやすいが、セッション状態(コネクションテーブル)は同期が必要なケースもあります。状態の非同期により切替が問題を生じるため注意。
セキュリティ上の観点
- スタティックNATによって内部IPが外部に固定で露出するため、該当サーバは公開攻撃の対象になりやすい。公開サービスでは最新のパッチ適用、脆弱性管理、IDS/IPS、WAF(Web Application Firewall)等の導入が望ましい。
- NAT自体はセキュリティ機能ではないため、ファイアウォールルールで不要なサービスへのアクセスを制限するべきです。
- アクセス制御をIPベースに依存する場合(相手が固定IPで許可する等)、スタティックNATは有効だが、IP偽装やBGPハイジャック等の外部リスクも考慮する必要があります。
アプリケーション(プロトコル)固有の注意点
- FTP(パッシブ/アクティブ)、SIP、H.323など、セッション制御でIPアドレスやポート番号の情報をアプリケーション層でやり取りするプロトコルは、NAT環境で問題が出やすい。ALG(Application Layer Gateway)やSIPプロキシ、STUN/TURN等の仕組みが必要になることがある。
- 暗号化されたトラフィック(TLS/SSL、IPsec等)では、中間でパケットを書き換えるNATの影響は小さいが、IPsecの一部モードではNATトラバーサル(NAT-T)を使う必要がある。
クラウド環境におけるスタティックNATの類似概念
クラウドでは「Elastic IP(AWS)」「Public IP(Azure/GCP)」等が静的なパブリックIPとして振る舞い、オンプレのスタティックNATと同様の用途(インスタンスやロードバランサに固定IPを割当て外部公開)で使われます。クラウド特有の注意点としては、プロバイダ側の請求、リージョン依存、割当の制限などが挙げられます。
IPv6時代の位置付け
IPv6ではアドレス空間が豊富なため、NATを使わずにグローバルアドレスを端末に割り当てる設計が可能になります。したがって、スタティックNATの必要性は減少します。ただし、運用上の理由(ポリシー、すでに存在するIPv4との共存、セキュリティ制御など)からNATを併用するケースはしばらく残るでしょう。
まとめ(実務的なアドバイス)
- スタティックNATは公開サーバやリモート管理の確実な到達手段として有効だが、グローバルIPv4アドレスを消費するため使用は計画的に行う。
- 設定時はルーティング、ファイアウォール、DNS(split-horizonの検討)、ログ/監視、冗長化対策を合わせて設計すること。
- アプリケーション固有の問題(FTP、SIP等)を事前に洗い出し、ALGやプロキシ、NATトラバーサルの採用を検討する。
- 可能であればIPv6導入を視野に入れ、長期的にはNAT依存を下げる設計を検討する。
参考文献
- RFC 1631 - The IP Network Address Translator (NAT)
- RFC 2663 - IP Network Address Translator (NAT) Terminology and Considerations
- RFC 3022 - Traditional IP Network Address Translator (Traditional NAT)
- RFC 4787 - Network Address Translation (NAT) Behavioral Requirements for Unicast UDP
- Cisco — What is NAT?
- Juniper — NAT Overview
- AWS — Elastic IP Addresses
- netfilter/iptables — NAT-HOWTO
投稿者プロフィール
