:検証/監視FW

やること
NAT、PAT、バーチャルIP、の設定の要点。
- アウトサイド -> インサイド(PATアドレス)の通信
- インサイド -> アウトサイドの通信

- FortiNet
-- ID:84226, hirokazu.okazaki@east.ntt.co.jp
-- http://www.fortinet.co.jp/leads/downloadpage.php

- 検証機へのアクセス
-- 192.168.1.99
-- admin / パスワードなし

- ドキュメント
-- fortigate-cli-50.pdf

- インタフェースの使い方
-- UpLink側が若番ポートを使う、DownLink側が老番ポートを使う。
--- ホスト／端末に近い側がDownと考えると、インターネット側がUpになる。

- FortiGate設定情報
-- ファームウェア バージョン
--- v5.2.7,build718
-- LED状態
--- STATUS:緑点灯, ALARM:消灯, HA:消灯, POWER:緑点灯

* ログ出力について
- パケットのログを画面／syslogに出力するかどうかは、ポリシーの設定に従う。
-- 今回は各ポリシーを「セキュリティイベントのみ(utm：デフォルト)」に、all->all=denyのログを「ブロックしたトラフィックをログ(有効)」に設定する。
--- つまり通常のログは画面にもsyslogにも出力されない。UTM機能で脅威と判定されたパケットと、ポリシーでdenyとなったパケットのみ、syslogと画面の両方に出力される。
-- ロギングなし(disable)だと画面にもsyslogにも出力されない
- GUI画面(ログの出力先デバイスとしてはメモリー）への表示は、
-- config log memory filter の set severity の設定に従う。
--- パケットのログは通常はinformationレベルで出力される。
--- set severity warning（デフォルト）だとGUIには表示されない。syslogには（ポリシーで出す設定にしていれば）出力される。
--- set severity informationに設定すると、通常パケットのログが画面にも表示されるようになる。

*** denyログのイメージ
Jun 30 03:18:06 senmgt-gw1 date=2016-06-30 time=03:17:53 devname=senmgt-gw1 devid=FG200B3910606331 logid=0000000007 type=traffic subtype=forward level=warning vd=root srcip=10.108.254.56 srcname="10.108.254.56" srcport=38803 srcintf="port13" dstip=192.168.162.186 dstname="192.168.162.186" dstport=49999 dstintf="port16" sessionid=58508 proto=17 action=deny policyid=0 dstcountry="Reserved" srccountry="Reserved" trandisp=noop service="udp/49999" duration=3 sentbyte=0 rcvdbyte=0 sentpkt=4 msg="Denied by forward policy check (policy 0)"

やること †

▲

NAT、PAT、バーチャルIP、の設定の要点。 †

▲

アウトサイド -> インサイド(PATアドレス)の通信 †

DNAT（宛先NAT）でのポイントは「NAT有効」をoffにし、宛先アドレスにバーチャルIPを指定すること。ダイナミックIPプールは使用しない。アドレスはオブジェクト定義したものを使う。

入力インターフェース : outside
送信元アドレス : mgt_outside_nw
- これは「ポリシー＆オブジェクト」>「オブジェクト」>「アドレス」で実アドレス(NWでも可)を追加したもの。
  - アドレスの設定例
  - 名前 : mgt_outside_nw
  - タイプ : IP/ネットワーク
  - サブネット/IP範囲 : 10.108.254.32/255.255.255.224（実ホストの場合はIPのみマスクなし）
  - インターフェース : outside
  - アドレスリストに表示 : on
出力インタフェース : inside1
宛先アドレス : mgt_vip_nat_kra-mntp01 と mgt_vip_nat_sen-mntp01
- これは「ポリシー＆オブジェクト」>「オブジェクト」>「バーチャルIP」でPATアドレスを登録したもの。
  - バーチャルIPの設定例
  - インターフェース : outside　（ここがoutsideになる事に注意）
  - タイプ : Static NAT
  - 送信元アドレスフィルタ : 10.108.254.32/27　（アクセス可能な外側のアドレス帯を設定する）
  - External IPアドレス/範囲 : 10.108.254.57 - 10.108.254.57 （外側のPATアドレス、単一ホストなので上下限同じ）
  - マップされたIPアドレス/範囲 : 10.159.212.61 - 10.159.212.61 （内側の実アドレス）
  - ポートフォワード : off
サービス : ntp_udp
- これは「ポリシー＆オブジェクト」>「サービス」>「サービス」でポート番号を登録したもの。
  - サービスの設定例
  - サービスリストに表示 : on
  - カテゴリ : Network Services （既存の設定を見て同じカテゴリにする）
  - プロトコルタイプ : TCP/UDP/SCTP
  - プロトコル : UDP、Low : 123、Higth : 未記入
  - ソースポートを指定 : off
NAT有効 : off

▲

インサイド -> アウトサイドの通信 †

PATでのポイントは「NAT有効」をonにし、ダイナミックIPプールを使用すること。アドレスはオブジェクト定義したものを使う。

入力インターフェース : inside1
送信元アドレス : mgt_inside_sen-mlog01、mgt_inside_esensp1などPATして外に出て行くアドレス/NW全て何個でも。
- これは「ポリシー＆オブジェクト」>「オブジェクト」>「アドレス」で実アドレス(NWでも可)を追加したもの。
  - アドレスの設定例
  - 名前 : mgt_inside_sen-mlog01
  - タイプ : IP/ネットワーク
  - サブネット/IP範囲 : 10.159.215.12 10.108.254.32/255.255.255.224（実ホストの場合はIPのみマスクなし）
  - インターフェース : inside1
  - アドレスリストに表示 : on
出力インタフェース : outside
宛先アドレス : all
サービス : ALL
NAT有効 : on (ダイナミックIPプールを使う) ippool_pat_addr
- これは「ポリシー＆オブジェクト」>「オブジェクト」「IPプール」で外に出る際の代表アドレスを追加したもの。
  - IPプールの設定例
  - タイプ : オーバーロード
  - External IP範囲 : 10.108.254.53 - 10.108.254.53 （外側のPATアドレス、単一ホストなので上下限同じ）
  - ARPリプライ : on

( 訪問者数: 47, 本日: 1, 昨日: 0 )

ログイン

メニュー

リンク

本日の上位5件

最近の更新10件

やること †

NAT、PAT、バーチャルIP、の設定の要点。 †

アウトサイド -> インサイド(PATアドレス)の通信 †

インサイド -> アウトサイドの通信 †