fortigateは比較的お手軽に購入できるファイアウォール機器です。
安くともライセンスを購入、適用すればUTMやWebフィルターの機能も使用することができます。
本記事はfortigateを導入したはいいけれどDMZ領域に設置したwebサーバをインターネットに公開する方法がわからない、という場合のメモとして作成しました。
Contents
fortigateのnatの設定。インターネットにサーバを公開する方法。
準備
webサーバを外部に公開したい場合、グローバル固定IPとドメインが必要ですね。
ドメイン取得は「お名前.com」などインターネット上サイトから申し込み可能です。ドメインの種類にもよりますがおおよそ1年間の契約で数百円~千円程度のお値段となることが多いようです。
またグローバル固定IPはインターネット契約しているプロバイダに申し込みます。プロバイダはOCNとかぷららとかauとかソフトバンクとかとかです。年額で9,500円の場合が多いですね。
公開サーバを公開するための上記2つの準備はfortigateだからというわけではなく他のファイアウォール機器やルータを設置しても必要となります。
設定例
各インタフェースのIPアドレス
メニュー > ネットワーク > インタフェース
を選択してFortigateのIPアドレスを各インタフェース毎にそれぞれ設定します。
internal:192.168.1.1/24
DMZ :192.168.2.1/24
PPPoE
WAN1はPPPoEの設定を行います。
メニュー > ネットワーク > インタフェース
を選択してWAN1にインターネット接続のためのPPPoEの設定、およびサーバ公開のために必要なグローバル固定IPを設定します。
WAN1 :PPPoEを選んでグローバル固定IPアドレスを設定
ルーティング
メニュー > ネットワーク > ルーティング
を選択して
デフォルトルート「0.0.0.0/0」の宛先が「PPPoE」となっていることを確認します。
ポリシーの作成
・PCがインターネット通信をするためのポリシー
元
インタフェース:internal
許可IP:192.168.1.100
許可ポート:any
先:
インタフェース:wan1
許可IP:any
許可ポート:any
nat設定:有効
※wan1→internalの戻りのポリシーは不要です。fortigateが自動的に通信許可してくれます。
インターネットから公開サーバにアクセスするためのnatの設定
★バーチャルIPの作成
メニュー > ポリシー&オブジェクト > バーチャルIP
を選択して
バーチャルIPの名前を「グローバル固定IP」とします。
External:グローバル固定IP - グローバル固定IP
送信元 :192.168.2.100 - 192.168.2.100
と設定します。
★インターネットから公開サーバにアクセスするためのポリシー
元
インタフェース:wan1
許可IP:any
許可ポート:any
先:
インタフェース:dmz
許可IP:グローバル固定IP
許可ポート:any、またはサービスを絞ってもOKです。webサーバならhttp,httpsでしょうか。
nat設定:無効 ← ここは「無効」で正解です。「有効」にしてはいけません。
※↑上記設定でインターネットから公開サーバにアクセス可能となりますが、公開サーバからインターネットに接続することはできません。公開サーバからインターネットにアクセスできるようにしたいならば別のポリシー設定が必要です。
まとめ
fortigateは大きな団体さん向けの製品からサテライトオフィスやご自宅で使用できる安価なものまで様々な製品が販売されています。
今回はfortigate60Dで検証しました。ファームウェアは5.4.8 build1183ですね。機種が異なってもファームウェアバージョンが同じであれば挙動は同じはず。
次回は公開サーバからインターネットにアクセスできるようにポリシーを設定いたします。
最後まで読んでいただきありがとうございました。
その他、fortigateの他の記事はこちらの記事も合わせてご参照ください。