- 追加された行はこの色です。
- 削除された行はこの色です。
[[:検証]]
#norelated
#topicpath
#contents
#memo(- FortiNet\n-- ID:84226, hirokazu.okazaki@east.ntt.co.jp\n-- http://www.fortinet.co.jp/leads/downloadpage.php\n\n- 検証機へのアクセス\n-- 192.168.1.99\n-- admin / パスワードなし\n\n- ドキュメント\n-- fortigate-cli-50.pdf\n\n- インタフェースの使い方\n-- UpLink側が若番ポートを使う、DownLink側が老番ポートを使う。\n--- ホスト/端末に近い側がDownと考えると、インターネット側がUpになる。\n\n- FortiGate設定情報\n-- ファームウェア バージョン\n--- v5.2.7,build718\n-- LED状態\n--- STATUS:緑点灯, ALARM:消灯, HA:消灯, POWER:緑点灯\n)
#memo(- FortiNet\n-- ID:84226, hirokazu.okazaki@east.ntt.co.jp\n-- http://www.fortinet.co.jp/leads/downloadpage.php\n\n- 検証機へのアクセス\n-- 192.168.1.99\n-- admin / パスワードなし\n\n- ドキュメント\n-- fortigate-cli-50.pdf\n\n- インタフェースの使い方\n-- UpLink側が若番ポートを使う、DownLink側が老番ポートを使う。\n--- ホスト/端末に近い側がDownと考えると、インターネット側がUpになる。\n\n- FortiGate設定情報\n-- ファームウェア バージョン\n--- v5.2.7,build718\n-- LED状態\n--- STATUS:緑点灯, ALARM:消灯, HA:消灯, POWER:緑点灯\n\n* ログ出力について\n- パケットのログを画面/syslogに出力するかどうかは、ポリシーの設定に従う。\n-- 今回は各ポリシーを「セキュリティイベントのみ(utm:デフォルト)」に、all->all=denyのログを「ブロックしたトラフィックをログ(有効)」に設定する。\n--- つまり通常のログは画面にもsyslogにも出力されない。UTM機能で脅威と判定されたパケットと、ポリシーでdenyとなったパケットのみ、syslogと画面の両方に出力される。\n-- ロギングなし(disable)だと画面にもsyslogにも出力されない\n- GUI画面(ログの出力先デバイスとしてはメモリー)への表示は、\n-- config log memory filter の set severity の設定に従う。\n--- パケットのログは通常はinformationレベルで出力される。\n--- set severity warning(デフォルト)だとGUIには表示されない。syslogには(ポリシーで出す設定にしていれば)出力される。\n--- set severity informationに設定すると、通常パケットのログが画面にも表示されるようになる。\n\n*** denyログのイメージ\nJun 30 03:18:06 senmgt-gw1 date=2016-06-30 time=03:17:53 devname=senmgt-gw1 devid=FG200B3910606331 logid=0000000007 type=traffic subtype=forward level=warning vd=root srcip=10.108.254.56 srcname="10.108.254.56" srcport=38803 srcintf="port13" dstip=192.168.162.186 dstname="192.168.162.186" dstport=49999 dstintf="port16" sessionid=58508 proto=17 action=deny policyid=0 dstcountry="Reserved" srccountry="Reserved" trandisp=noop service="udp/49999" duration=3 sentbyte=0 rcvdbyte=0 sentpkt=4 msg="Denied by forward policy check (policy 0)"\n)
* やること [#b32fc342]
* NAT、PAT、バーチャルIP、の設定の要点。 [#y82ee3bd]
** アウトサイド -> インサイド(PATアドレス)の通信 [#g8198a64]
DNAT(宛先NAT)でのポイントは「NAT有効」をoffにし、宛先アドレスにバーチャルIPを指定すること。
ダイナミックIPプールは使用しない。アドレスはオブジェクト定義したものを使う。
- 入力インターフェース : outside
- 送信元アドレス : mgt_outside_nw
-- これは「ポリシー&オブジェクト」>「オブジェクト」>「アドレス」で実アドレス(NWでも可)を追加したもの。
--- アドレスの設定例
--- 名前 : mgt_outside_nw
--- タイプ : IP/ネットワーク
--- サブネット/IP範囲 : 10.108.254.32/255.255.255.224(実ホストの場合はIPのみマスクなし)
--- インターフェース : outside
--- アドレスリストに表示 : on
- 出力インタフェース : inside1
- 宛先アドレス : mgt_vip_nat_kra-mntp01 と mgt_vip_nat_sen-mntp01
-- これは「ポリシー&オブジェクト」>「オブジェクト」>「バーチャルIP」でPATアドレスを登録したもの。
--- バーチャルIPの設定例
--- インターフェース : outside (ここがoutsideになる事に注意)
--- タイプ : Static NAT
--- 送信元アドレスフィルタ : 10.108.254.32/27 (アクセス可能な外側のアドレス帯を設定する)
--- External IPアドレス/範囲 : 10.108.254.57 - 10.108.254.57 (外側のPATアドレス、単一ホストなので上下限同じ)
--- マップされたIPアドレス/範囲 : 10.159.212.61 - 10.159.212.61 (内側の実アドレス)
--- ポートフォワード : off
- サービス : ntp_udp
-- これは「ポリシー&オブジェクト」>「サービス」>「サービス」でポート番号を登録したもの。
--- サービスの設定例
--- サービスリストに表示 : on
--- カテゴリ : Network Services (既存の設定を見て同じカテゴリにする)
--- プロトコルタイプ : TCP/UDP/SCTP
--- プロトコル : UDP、Low : 123、Higth : 未記入
--- ソースポートを指定 : off
- NAT有効 : off
** インサイド -> アウトサイドの通信 [#tf7c7799]
PATでのポイントは「NAT有効」をonにし、ダイナミックIPプールを使用すること。
アドレスはオブジェクト定義したものを使う。
- 入力インターフェース : inside1
- 送信元アドレス : mgt_inside_sen-mlog01、mgt_inside_esensp1などPATして外に出て行くアドレス/NW全て何個でも。
-- これは「ポリシー&オブジェクト」>「オブジェクト」>「アドレス」で実アドレス(NWでも可)を追加したもの。
--- アドレスの設定例
--- 名前 : mgt_inside_sen-mlog01
--- タイプ : IP/ネットワーク
--- サブネット/IP範囲 : 10.159.215.12 10.108.254.32/255.255.255.224(実ホストの場合はIPのみマスクなし)
--- インターフェース : inside1
--- アドレスリストに表示 : on
- 出力インタフェース : outside
- 宛先アドレス : all
- サービス : ALL
- NAT有効 : on (ダイナミックIPプールを使う) ippool_pat_addr
-- これは「ポリシー&オブジェクト」>「オブジェクト」「IPプール」で外に出る際の代表アドレスを追加したもの。
--- IPプールの設定例
--- タイプ : オーバーロード
--- External IP範囲 : 10.108.254.53 - 10.108.254.53 (外側のPATアドレス、単一ホストなので上下限同じ)
--- ARPリプライ : on
//***配下のページ一覧
//#lsx(tree=leaf,hierarchy=off,new)
#counter
