[[:検証]] #norelated #topicpath #contents #memo(- FortiNet\n-- ID:84226, hirokazu.okazaki@east.ntt.co.jp\n-- http://www.fortinet.co.jp/leads/downloadpage.php\n\n- 検証機へのアクセス\n-- 192.168.1.99\n-- admin / パスワードなし\n\n- ドキュメント\n-- fortigate-cli-50.pdf\n\n- インタフェースの使い方\n-- UpLink側が若番ポートを使う、DownLink側が老番ポートを使う。\n--- ホスト/端末に近い側がDownと考えると、インターネット側がUpになる。\n\n- FortiGate設定情報\n-- ファームウェア バージョン\n--- v5.2.7,build718\n-- LED状態\n--- STATUS:緑点灯, ALARM:消灯, HA:消灯, POWER:緑点灯\n) #memo(- FortiNet\n-- ID:84226, hirokazu.okazaki@east.ntt.co.jp\n-- http://www.fortinet.co.jp/leads/downloadpage.php\n\n- 検証機へのアクセス\n-- 192.168.1.99\n-- admin / パスワードなし\n\n- ドキュメント\n-- fortigate-cli-50.pdf\n\n- インタフェースの使い方\n-- UpLink側が若番ポートを使う、DownLink側が老番ポートを使う。\n--- ホスト/端末に近い側がDownと考えると、インターネット側がUpになる。\n\n- FortiGate設定情報\n-- ファームウェア バージョン\n--- v5.2.7,build718\n-- LED状態\n--- STATUS:緑点灯, ALARM:消灯, HA:消灯, POWER:緑点灯\n\n* ログ出力について\n- パケットのログを画面/syslogに出力するかどうかは、ポリシーの設定に従う。\n-- 今回は各ポリシーを「セキュリティイベントのみ(utm:デフォルト)」に、all->all=denyのログを「ブロックしたトラフィックをログ(有効)」に設定する。\n--- つまり通常のログは画面にもsyslogにも出力されない。UTM機能で脅威と判定されたパケットと、ポリシーでdenyとなったパケットのみ、syslogと画面の両方に出力される。\n-- ロギングなし(disable)だと画面にもsyslogにも出力されない\n- GUI画面(ログの出力先デバイスとしてはメモリー)への表示は、\n-- config log memory filter の set severity の設定に従う。\n--- パケットのログは通常はinformationレベルで出力される。\n--- set severity warning(デフォルト)だとGUIには表示されない。syslogには(ポリシーで出す設定にしていれば)出力される。\n--- set severity informationに設定すると、通常パケットのログが画面にも表示されるようになる。\n\n*** denyログのイメージ\nJun 30 03:18:06 senmgt-gw1 date=2016-06-30 time=03:17:53 devname=senmgt-gw1 devid=FG200B3910606331 logid=0000000007 type=traffic subtype=forward level=warning vd=root srcip=10.108.254.56 srcname="10.108.254.56" srcport=38803 srcintf="port13" dstip=192.168.162.186 dstname="192.168.162.186" dstport=49999 dstintf="port16" sessionid=58508 proto=17 action=deny policyid=0 dstcountry="Reserved" srccountry="Reserved" trandisp=noop service="udp/49999" duration=3 sentbyte=0 rcvdbyte=0 sentpkt=4 msg="Denied by forward policy check (policy 0)"\n) * やること [#b32fc342] * NAT、PAT、バーチャルIP、の設定の要点。 [#y82ee3bd] ** アウトサイド -> インサイド(PATアドレス)の通信 [#g8198a64] DNAT(宛先NAT)でのポイントは「NAT有効」をoffにし、宛先アドレスにバーチャルIPを指定すること。 ダイナミックIPプールは使用しない。アドレスはオブジェクト定義したものを使う。 - 入力インターフェース : outside - 送信元アドレス : mgt_outside_nw -- これは「ポリシー&オブジェクト」>「オブジェクト」>「アドレス」で実アドレス(NWでも可)を追加したもの。 --- アドレスの設定例 --- 名前 : mgt_outside_nw --- タイプ : IP/ネットワーク --- サブネット/IP範囲 : 10.108.254.32/255.255.255.224(実ホストの場合はIPのみマスクなし) --- インターフェース : outside --- アドレスリストに表示 : on - 出力インタフェース : inside1 - 宛先アドレス : mgt_vip_nat_kra-mntp01 と mgt_vip_nat_sen-mntp01 -- これは「ポリシー&オブジェクト」>「オブジェクト」>「バーチャルIP」でPATアドレスを登録したもの。 --- バーチャルIPの設定例 --- インターフェース : outside (ここがoutsideになる事に注意) --- タイプ : Static NAT --- 送信元アドレスフィルタ : 10.108.254.32/27 (アクセス可能な外側のアドレス帯を設定する) --- External IPアドレス/範囲 : 10.108.254.57 - 10.108.254.57 (外側のPATアドレス、単一ホストなので上下限同じ) --- マップされたIPアドレス/範囲 : 10.159.212.61 - 10.159.212.61 (内側の実アドレス) --- ポートフォワード : off - サービス : ntp_udp -- これは「ポリシー&オブジェクト」>「サービス」>「サービス」でポート番号を登録したもの。 --- サービスの設定例 --- サービスリストに表示 : on --- カテゴリ : Network Services (既存の設定を見て同じカテゴリにする) --- プロトコルタイプ : TCP/UDP/SCTP --- プロトコル : UDP、Low : 123、Higth : 未記入 --- ソースポートを指定 : off - NAT有効 : off ** インサイド -> アウトサイドの通信 [#tf7c7799] PATでのポイントは「NAT有効」をonにし、ダイナミックIPプールを使用すること。 アドレスはオブジェクト定義したものを使う。 - 入力インターフェース : inside1 - 送信元アドレス : mgt_inside_sen-mlog01、mgt_inside_esensp1などPATして外に出て行くアドレス/NW全て何個でも。 -- これは「ポリシー&オブジェクト」>「オブジェクト」>「アドレス」で実アドレス(NWでも可)を追加したもの。 --- アドレスの設定例 --- 名前 : mgt_inside_sen-mlog01 --- タイプ : IP/ネットワーク --- サブネット/IP範囲 : 10.159.215.12 10.108.254.32/255.255.255.224(実ホストの場合はIPのみマスクなし) --- インターフェース : inside1 --- アドレスリストに表示 : on - 出力インタフェース : outside - 宛先アドレス : all - サービス : ALL - NAT有効 : on (ダイナミックIPプールを使う) ippool_pat_addr -- これは「ポリシー&オブジェクト」>「オブジェクト」「IPプール」で外に出る際の代表アドレスを追加したもの。 --- IPプールの設定例 --- タイプ : オーバーロード --- External IP範囲 : 10.108.254.53 - 10.108.254.53 (外側のPATアドレス、単一ホストなので上下限同じ) --- ARPリプライ : on //***配下のページ一覧 //#lsx(tree=leaf,hierarchy=off,new) #counter