ICT Diary

Network(主にCisco系)、Server(RedHat系)、Program(適当)を気まぐれにUPしていく。

Fortigate フィルタリング設定 ~I/F Based Policy~ (cli)

構成

構成図

(Internet)------[FW]---------------(PC)
|<------------->|  |<------------->|
       WAN                LAN
   10.0.0.0/24       192.168.0.0/24

構成

  • Internet (CiscoRT)
  • PC (CiscoRT)
  • FW (Fortigate)
    • I/F
      • wan: PPPoE接続するWAN側I/F
      • internal: PCを接続するLocal側のI/F
  • IP情報
    • WAN: 10.0.0.0/24
    • LAN: 192.168.0.0/24
  • Policy(許可内容)

前提設定

Internet (CiscoRT)

interface GigabitEthernet0/0
 ip address 10.0.0.1 255.255.255.0

ip route 192.168.0.0 255.255.255.0 10.0.0.2

PC (CiscoRT)

interface GigabitEthernet0/0
 ip address 192.168.0.1 255.255.255.0

ip route 10.0.0.0 255.255.255.0 192.168.0.2

Fortigate

config system interface
    edit "wan"
        set vdom "root"
        set ip 10.0.0.2 255.255.255.0
        set type physical
    next
    edit "internal"
        set vdom "root"
        set ip 192.168.0.2 255.255.255.0
        set type physical
    next
end

アドレスオブジェクトの作成

設定

config firewall address
    edit ADDR-OBJ_internal
        set subnet 192.168.0.0/24
    next
    edit ADDR-OBJ_wan
        set subnet 10.0.0.1/32
    next
end

詳細

edit "[NAME]"                                       :オブジェクト管理名の指定(大文字にするとわかりやすい)
set subnet <[Network] [Subnet] | [Network]/[Prefix]>:フィルタ対象のセグメントを指定(今回はプレフィックス)

アドレスグループオブジェクトの作成 (今回は不要)

一つのポリシーの送信元や宛先に細かいアドレスを複数指定したい場合に使用する

詳細

config firewall addrgrp
    edit [GroupName]                        :オブジェクト管理名の指定(大文字にするとわかりやすい)
        set member [OBJECT1] [OBJECT2]...   :複数指定したいセグメントのアドレスオブジェクトを指定
    next
end

I/Fベースポリシー作成

設定

config firewall policy
    edit 1
        set srcintf wan
        set dstintf internal
        set srcaddr ADDR-OBJ_internal
        set dstaddr ADDR-OBJ_wan
        set action accept
        set schedule always
        set service PING
    next
end

詳細

set srcintf [I/F]       :[必須]送信元I/Fを指定
set dstintf [I/F]       :[必須]送信先I/Fを指定
set srcaddr [OBJ]       :送信元のアドレスの指定
set dstaddr [OBJ]       :送信元のアドレスの指定
set action [ACTION]     :通信の可否を指定
set schedule [TIME]     :ポリシーが有効な期間を指定
set service [SERVICE]   :通信のプロトコルを指定(ポート番号, プロトコル番号)