構成
構成図
(Internet)------[FW]---------------(PC) |<------------->| |<------------->| WAN LAN 10.0.0.0/24 192.168.0.0/24
構成
- Internet (CiscoRT)
- PC (CiscoRT)
- FW (Fortigate)
- I/F
- wan: PPPoE接続するWAN側I/F
- internal: PCを接続するLocal側のI/F
- I/F
- IP情報
- WAN: 10.0.0.0/24
- LAN: 192.168.0.0/24
- Policy(許可内容)
- PC
- source: 192.168.0.0/24
- destination: 10.0.0.1/32
- protocol: icmp(ping)
前提設定
Internet (CiscoRT)
interface GigabitEthernet0/0 ip address 10.0.0.1 255.255.255.0 ip route 192.168.0.0 255.255.255.0 10.0.0.2
PC (CiscoRT)
interface GigabitEthernet0/0 ip address 192.168.0.1 255.255.255.0 ip route 10.0.0.0 255.255.255.0 192.168.0.2
Fortigate
config system interface edit "wan" set vdom "root" set ip 10.0.0.2 255.255.255.0 set type physical next edit "internal" set vdom "root" set ip 192.168.0.2 255.255.255.0 set type physical next end
アドレスオブジェクトの作成
設定
config firewall address edit ADDR-OBJ_internal set subnet 192.168.0.0/24 next edit ADDR-OBJ_wan set subnet 10.0.0.1/32 next end
詳細
edit "[NAME]" :オブジェクト管理名の指定(大文字にするとわかりやすい) set subnet <[Network] [Subnet] | [Network]/[Prefix]>:フィルタ対象のセグメントを指定(今回はプレフィックス)
アドレスグループオブジェクトの作成 (今回は不要)
一つのポリシーの送信元や宛先に細かいアドレスを複数指定したい場合に使用する
詳細
config firewall addrgrp edit [GroupName] :オブジェクト管理名の指定(大文字にするとわかりやすい) set member [OBJECT1] [OBJECT2]... :複数指定したいセグメントのアドレスオブジェクトを指定 next end
I/Fベースポリシー作成
設定
config firewall policy edit 1 set srcintf wan set dstintf internal set srcaddr ADDR-OBJ_internal set dstaddr ADDR-OBJ_wan set action accept set schedule always set service PING next end
詳細
set srcintf [I/F] :[必須]送信元I/Fを指定 set dstintf [I/F] :[必須]送信先I/Fを指定 set srcaddr [OBJ] :送信元のアドレスの指定 set dstaddr [OBJ] :送信元のアドレスの指定 set action [ACTION] :通信の可否を指定 set schedule [TIME] :ポリシーが有効な期間を指定 set service [SERVICE] :通信のプロトコルを指定(ポート番号, プロトコル番号)