V6プラスでポート開放する方法(NVR510)
v6プラス環境になったので使えるポートを公開用に使用する
v6プラスは基本的にはポート開放ができない、というよりも
決められた範囲のポートしかそもそも使用することができない
そのため1契約で割り当てられる範囲240個の中から公開するポートを
選ぶ必要がある
契約中はポートの範囲は変わることはないらしい
確認方法はIPv6のプレフィックスから計算する方法と、ルーターなど
から使用しているポートを確認するやり方がある
今回はNVR510に備わっているNATコマンドで確認ができたのでそれを利用する
1
|
# show nat descriptor address
|
1
2
3
4
5
6
7
8
9
10
11
12
|
NAT/IPマスカレード 動作タイプ : 2
参照NATディスクリプタ : 1000, 適用インタフェース : TUNNEL[2](1)
Masqueradeテーブル
外側アドレス: map-e/外側IPアドレス
ポート範囲: xxxx-xxxx, xxxx-xxxx, xxxxx-xxxxx, xxxxx-xxxxx, xxxxxx-xxxxx, xx
xxx-xxxxx, xxxxx-xxxxx, xxxxx-xxxxx, xxxxx-xxxxx, xxxxx-xxxxx, xxxxx-xxxxx, xxx
xx-xxxxx, xxxxx-xxxxx, xxxxx-xxxxx, xxxxx-xxxxx 90 セッション
-*- -*- -*- -*- -*- -*- -*- -*- -*- -*- -*-
No. 内側アドレス セッション数 ホスト毎制限数 種別
1 192.168.xxx.xxx 73 65534 dynamic
---------------------
有効なNATディスクリプタテーブルが1個ありました
|
このポート範囲が実際に使用できるポートになる
使用できるポートは契約によって変わる
- NVR510側では静的NAPTとフィルタの作成を行う
ポート11111を使いローカルのhttpsサーバーに接続する設定の場合
1
2
|
# nat descriptor masquerade static 1000 1 サーバーIP 11111=443
# ip filter 200000 pass * サーバーIP tcp * https
|
v6プラスのトンネルにフィルタを適用させる(200010以降は元からのフィルタ)
1
2
3
|
# tunnel select v6プラスのトンネル番号
# ip tunnel secure filter in 200000 200010 200020 200030
# tunnel select none
|
静的NAPTが適用されているか確認する
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
|
# show nat descriptor address
NAT/IPマスカレード 動作タイプ : 2
参照NATディスクリプタ : 1000, 適用インタフェース : TUNNEL[2](1)
Masqueradeテーブル
外側アドレス: map-e/xxx.xxx.xxx.xxx
ポート範囲: xxxx-xxxx, xxxx-xxxx, xxxxx-xxxxx, xxxxx-xxxxx, xxxxxx-xxxxx, xx
xxx-xxxxx, xxxxx-xxxxx, xxxxx-xxxxx, xxxxx-xxxxx, xxxxx-xxxxx, xxxxx-xxxxx, xxx
xx-xxxxx, xxxxx-xxxxx, xxxxx-xxxxx, xxxxx-xxxxx 90 セッション
プロトコル 内側アドレス 宛先 マスカレード 種別
TCP 192.168.xxx.xxx.443 *.*.*.*.* 49443 static
-*- -*- -*- -*- -*- -*- -*- -*- -*- -*- -*-
No. 内側アドレス セッション数 ホスト毎制限数 種別
1 192.168.xxx.xxx 21 65534 dynamic
---------------------
有効なNATディスクリプタテーブルが1個ありました
|
ここまで来たら疎通できるようになります
参考:
v6プラスでポート開放してみた(YAMAHA NVR510編)