Fortigate50Bでのポートフォワーディング
Fortigate50Bでポートフォワーディングを設定する際に深刻な問題が発生しました。ユニットは基本的に工場出荷時のデフォルトとして実行されており、wan1インターフェイスは光ファイバーインターネットモデムに接続されており、LANはFortigateの内部スイッチに接続されています。内部インターフェイスからwan1へのトラフィックを許可する工場出荷時のデフォルトのファイアウォールポリシーが保持され、通常どおりinteretにアクセスできます。
次に、インターネットからローカルサーバー(ip 192.168.9.51)Webサーバー(標準ポート80)へのアクセスを許可するための仮想IPとファイアウォールポリシーを追加しました。設定は以下のとおりです。
仮想IPマッピングの編集
Name : Server VIP
External interface : wan1
Type : Static NAT
Extermal IP Address/Range : 0.0.0.0
Mapped IP Address/Range : 192.168.9.51
Port Forwarding : not checked
ファイアウォールポリシー
Source interface/Zone : wan1
Source address : all
Destination interface/Zone : internal
Destination address : Server VIP
Schedule : always
Service : HTTP
Action : ACCEPT
no other settings checked
今何が起こっているのかというと、サーバーからインターネットにアクセスできず、インターネットからもWebサーバーにアクセスできません。外部のサイトにpingを実行できますが、すべてのWebトラフィックが双方向でブロックされます。
ドキュメントを確認しましたが、私が知る限り、これは正しく設定されています。 Fortigateポートフォワーディング/ NATの知識を持っている人はいますか?
まあ..私は解決策を見つけました:
Edit Virtual IP Mapping
Name : Server VIP
External interface : wan1
Type : Static NAT
Extermal IP Address/Range : xxx.xxx.xxx.xxx <- insert external IP here
Mapped IP Address/Range : 192.168.9.51
Port Forwarding : not checked
have wan1インターフェイスの外部IPを入力し、ドキュメントの状態はすべてのIPに対して有効であるため、0.0.0.0を使用しないことがわかりました。たとえば、停電後にWANインターフェイスがIPアドレスを変更すると、すべてのポート転送が機能しなくなるため、これは厄介です。しかし、少なくとも今は機能します。
外出中のすべてをNATする場合は、ファイアウォールポリシーのNATをVIPで確認する必要があります。最初にこれを試してください。