翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS Site-to-Site VPN カスタマーゲートウェイデバイスのファイアウォールルール
<a name="FirewallRules"></a>

カスタマーゲートウェイデバイスをエンドポイントに接続する IPsec トンネルのエンドポイントとして使用する静的 IP アドレスが必要です。 AWS Site-to-Site VPN ファイアウォールが AWS とカスタマーゲートウェイデバイスの間にある場合、IPsec トンネルを確立するために、次の表のルールを設定する必要があります。 AWS側の IP アドレスは設定ファイルにあります。


**インバウンド (インターネットから)**  

| 
| 
|  入力ルール I1  | 
| --- |
| [Source IP] (送信元 IP) | Tunnel1 外部 IP | 
| 送信先 IP | カスタマーゲートウェイ | 
| プロトコル | UDP | 
| ソースポート | 500 | 
| 送信先 | 500 | 
|  入力ルール I2  | 
| --- |
| [Source IP] (送信元 IP) | Tunnel2 外部 IP | 
| 送信先 IP | カスタマーゲートウェイ | 
| プロトコル | UDP | 
| ソースポート | 500 | 
| 発信先ポート | 500 | 
|  入力ルール I3  | 
| --- |
| [Source IP] (送信元 IP) | Tunnel1 外部 IP | 
| 送信先 IP | カスタマーゲートウェイ | 
| プロトコル | IP 50 (ESP) | 
|  入力ルール I4  | 
| --- |
| [Source IP] (送信元 IP) | Tunnel2 外部 IP | 
| 送信先 IP | カスタマーゲートウェイ | 
| プロトコル | IP 50 (ESP) | 


**アウトバウンド (インターネットへ)**  

| 
| 
|  出力ルール O1  | 
| --- |
| [Source IP] (送信元 IP) | カスタマーゲートウェイ | 
| 送信先 IP | Tunnel1 外部 IP | 
| プロトコル | UDP | 
| ソースポート | 500 | 
| 発信先ポート | 500 | 
|  出力ルール O2  | 
| --- |
| [Source IP] (送信元 IP) | カスタマーゲートウェイ | 
| 送信先 IP | Tunnel2 外部 IP | 
| プロトコル | UDP | 
| ソースポート | 500 | 
| 発信先ポート | 500 | 
|  出力ルール O3  | 
| --- |
| [Source IP] (送信元 IP) | カスタマーゲートウェイ | 
| 送信先 IP | Tunnel1 外部 IP | 
| プロトコル | IP 50 (ESP)  | 
|  出力ルール O4  | 
| --- |
| [Source IP] (送信元 IP) | カスタマーゲートウェイ | 
| 送信先 IP | Tunnel2 外部 IP | 
| プロトコル | IP 50 (ESP) | 

ルール I1、I2、O1、および O2 は、IKE パケットの送信を有効にします。ルール I3、I4、O3、および O4 は、暗号化されたネットワークトラフィックを含む IPsec パケットの送信を有効にします。

**注記**  
デバイスで NAT トラバーサル (NAT-T) を使用している場合は、ポート 4500 の UDP トラフィックもネットワークと AWS Site-to-Site VPN エンドポイント間で通過できることを確認してください。デバイスが NAT-T をアドバタイズしているかどうかを確認します。