FC2ブログ
11 // 1.2.3.4.5.6.7.8.9.10.11.12.13.14.15.16.17.18.19.20.21.22.23.24.25.26.27.28.29.30.31. // 01

スポンサーサイト 

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

[edit]

trackback: -- | comment: --

[メモ]fortigateでポートフォワードしたときのこと 

DMZ構築するにあたって、fortigateの設定をしたのでメモ。

やったことは
・バーチャルIP設定
・サービス設定(いらなかった)
・ポリシー設定

バーチャルIPで設定するのに必要な情報
バーチャルIPアドレス名(任意)
Externalインタフェース(インターネット側インタフェース)
外部IPアドレス/レンジ(グローバルIP)
マップ先IPアドレス/レンジ(ローカルIP)

ポートフォワーディングにチェック
プロトコル:TCP
サービスポート(端末から指定するポート。ex.8080)
マッピングするポート(サーバのポート。ex.80)

サービス設定は後述するけどいりませんでした。
80あければOKだった

ポリシー設定
source:Any
destination:作成したバーチャルIPを指定
service:「マッピングするポート」と同じものを開ける

設定してみたものの、アクセスできない。。
そもそもpolicy通ってるかがわからないので、トラフィックログとってみることに。

しかしfortigateのトラフィックログって、syslogに飛ばさないと見れないんですよね。
これがscreenosと違ってめんどくさいところです。

なので、syslogサーバたててログを送ることに。
ルータのログをsyslogに飛ばす設定はここがわかりやすかった
http://nrglog.net/wiki/%A5%EB%A1%BC%A5%BF%A4%CEsyslog%A4%F2Linux%A4%C7%BC%F5%A4%B1%BC%E8%A4%EB/

FortigateのNAT設定は、ここにかいてあることで大体わかるけど
http://www5.ocn.ne.jp/~m-shin/firewall/firewall-fortigate-nat.html

上記手順は1対1NATの手順なのですが、ポートフォワーディングする場合の注意としては
ACCEPTするserviceは、ポートフォワード後のserviceだということですかね…

たとえば8080を80にフォワードする場合は、開けてあげるポートは80ってことです。
8080な気がしていて詰まってました。
スポンサーサイト

[edit]

« 変態アドベントカレンダー(11/27)  |  [SSL]自己証明書の作成 »

この記事に対するコメント

コメントの投稿

Secret

トラックバック

トラックバックURL
→http://nagi2100.blog68.fc2.com/tb.php/26-047a35fe
この記事にトラックバックする(FC2ブログユーザー)

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。