大体題意の通りなのですが。

Firewallなら大抵NAT機能なんかも普通についていて、結構頭が良い。

それだけに、設定値をどうすればいいのかみたいなところが、癖みたいなのを知ってないと苦労するような気がする。という話。

とあるFirewallがEOSになるからと、ルータに乗せ換える設計をしていましたが、

FirewallでNATしていると、NAT変換後のIPアドレスをベースにルールを書くのか、NAT変換前のIPアドレスをベースにルールを書くのか

みたいなところにズレが生じたり、ルールを設定できる箇所が違ったり。

なんだかいろいろ面倒だなぁという感じです。

Linuxのiptables触っていると、

1. パケットがインターフェースに着信する。
2. 着信インターフェースにてPREROUTINGプロセスが走る
3. 着信インターフェースにてINPUTフィルターが動作する
4. FORWARDされる
5. 発信インターフェースにてOUTPUTフィルターが動作する
6. 発信インターフェースにてPOSTROUGINGプロセスが走る

みたいな動作をして NATアドレス変換はPREROUTINGとPOSTROUTINGで行われるので、 イメージ的にはルーティングプロセス内IPアドレスと、実世界IPアドレスみたいなのがあって、 フィルターはルーティングプロセス内IPアドレスに対して行う。 というのが正解なんだけれど、

NATアドレス変換後というか、実世界IPアドレスにてルールを設定するFirewallというのに出会って苦労しました。