ICT Diary

Network(主にCisco系)、Server(RedHat系)、Program(適当)を気まぐれにUPしていく。

Fortigate フィルタリング設定 Zone Based Policy (cli)

構成

トポロジー

(Internet)------[FW]---------------(PC)
                    ---------------(SV)
|<------------->|  |<------------->|
       WAN                LAN
   10.0.0.0/24       192.168.10.0/24
                     192.168.20.0/24

構成* Internet (CiscoRT)

  • PC (CiscoRT)
  • SV (CiscoRT)
  • Fortigate
    • I/F
      • wan:
        • PPPoE接続するWAN側I/F
        • Zone: untrust
      • port1:
        • PCを接続するLocal側のI/F
        • zone: trust
      • port2:
        • SVを接続するLocal側のI/F
        • zone: trust
  • IP情報
    • WAN: 10.0.0.0/24
    • LAN(port1): 192.168.10.0/24
    • LAN(port2): 192.168.20.0/24
  • Policy(許可内容)
    • LAN ⇔ WAN
      • source: 192.168.10.0/24, 192.168.20.0/24
      • destination: 10.0.0.1/32
      • protocol: icmp(ping)
      • 許可
    • LAN ⇔ LAN
      • すべて拒否

前提設定

Internet (CiscoRT)

interface GigabitEthernet0/0
 ip address 10.0.0.1 255.255.255.0

ip route 192.168.10.0 255.255.255.0 10.0.0.2
ip route 192.168.20.0 255.255.255.0 10.0.0.2

PC (CiscoRT)

interface GigabitEthernet0/0
 ip address 192.168.10.1 255.255.255.0

ip route 0.0.0.0 0.0.0.0 192.168.10.2

SV (CiscoRT)

interface GigabitEthernet0/0
 ip address 192.168.20.1 255.255.255.0

ip route 0.0.0.0 0.0.0.0 192.168.20.2

Fortigate

config system interface
    edit "wan"
        set vdom "root"
        set ip 10.0.0.2 255.255.255.0
        set type physical
    next
    edit "port1"
        set vdom "root"
        set ip 192.168.10.2 255.255.255.0
        set type physical
    next
    edit "port2"
        set vdom "root"
        set ip 192.168.20.2 255.255.255.0
        set type physical
    next
end

アドレスオブジェクトの作成

設定

config firewall address
    edit ADDR-OBJ_LAN-PC
        set subnet 192.168.10.0/24
    next
    edit ADDR-OBJ_LAN-SV
        set subnet 192.168.20.0/24
    next
    edit ADDR-OBJ_wan
        set subnet 10.0.0.1/32
    next
end

詳細

edit "[NAME]"                                       :オブジェクト管理名の指定(大文字にするとわかりやすい)
set subnet <[Network] [Subnet] | [Network]/[Prefix]>:フィルタ対象のセグメントを指定(今回はプレフィックス)

アドレスグループオブジェクトの作成

設定

config firewall addrgrp
    edit ADDRG-OBJ_LAN-Segment
        set member ADDR-OBJ_LAN-PC ADDR-OBJ_LAN-SV
    next
end

詳細

edit [GroupName]                    :オブジェクト管理名の指定(大文字にするとわかりやすい)
set member [OBJECT1] [OBJECT2]...   :複数指定したいセグメントのアドレスオブジェクトを指定

Zone設定

  • ZoneにはPolicyの[srcintf], [dstintf]で個別指定していないI/Fのみが参加できる
  • Zoneのメンバとして指定したI/FはPolicyで個別のI/Fとして指定できない

設定

config system zone
    edit trust
        set interface "port1" "port2"
        set intrazone deny
    next
    edit untrust
        set interface "wan"
    next
end

詳細

edit [Name]                     :Zone名を指定
set interface [I/F] [I/F]...    :Zoneに参加させるI/Fを指定
set intrazone [ACTION]          :同じゾーン間での通信を許可するかを指定

Zoneベースポリシー作成

※Zoneについての詳細は "Firewallとは ~Firewallに関する基礎知識~" を参照

設定

config firewall policy
    edit 1
        set srcintf trust
        set dstintf untrust
        set srcaddr ADDRG-OBJ_LAN-Segment
        set dstaddr ADDR-OBJ_wan
        set action accept
        set schedule always
        set service PING
    next
end

詳細

set srcintf [I/F]       :[必須]送信元となるZone or I/Fを指定
set dstintf [I/F]       :[必須]送信先となるZone or I/Fを指定
set srcaddr [OBJ]       :送信元のアドレスの指定
set dstaddr [OBJ]       :送信元のアドレスの指定
set action [ACTION]     :通信の可否を指定
set schedule [TIME]     :ポリシーが有効な期間を指定
set service [SERVICE]   :通信のプロトコルを指定(ポート番号, プロトコル番号)