地址映射(一对一IP映射)

组网需求

用户已完成了防火墙基础配置,现在需要将内网的一台web服务器需要将HTTPS服务全映射到外网口的地址,让外网的用户能访问到此服务器。

网络拓扑

image-20230107113039786

配置要点

  • 基础上网配置
  • 配置虚拟IP(DNAT)
  • 配置安全策略

配置步骤

  1. 基础上网配置,请参照网络管理→路由模式→静态地址上网方式章节,接口IP、静态路由配置如下。

    image-20230107135011853

    image-20230107135038800

  2. 进入策略&对象→虚拟IP,新建虚拟IP。

  3. 配置VIP,名称为webserver,用于wan1接口。

    注意:VIP配置中的外部IP不能配置为现有网络中其他设备的IP、FortiGate的网关IP,也不能配置为内网客户端正常上网可能访问的IP地址。这是由于FortiGate配置VIP后,extip属于FortiGate自身的IP地址,即使VIP没有被防火墙策略引用,所有访问该IP的流量经过FortiGate时都会被FortiGate引流到自身,影响正常的业务。

    强烈建议在配置VIP时,选择绑定接口,这样可以防止VIP在其他接口响应ARP导致的网络问题。

    image-20230107135231357

    config firewall vip
        edit "webserver"
            set extip 202.1.1.11
            set mappedip "192.168.1.2"
            set extintf "port2"
        next
    end
    
    说明:“外部的IP地址/范围”和“映射的IPv4地址/范围”数量是对应,一对一映射,可以只写一个IP对一个IP的映射关系,也可以写一个映射范围。比如202.1.1.3-202.1.1.10,内部映射必须是192.168.1.2-192.168.1.9,对应映射关系也是对应的,202.1.1.3对应192.168.1.2,202.1.14对应192.168.1.3,依此类推。
  4. 配置安全策略引用VIP。

    image-20230107144134544

    config firewall policy
        edit 1
            set name "webserver"
            set srcintf "port2"
            set dstintf "port3"
            set action accept
            set srcaddr "all"
            set dstaddr "webserver"
            set schedule "always"
            set service "HTTPS"
        next
    end
    
    • 流入接口:wan1 //如内网用户也需通过虚拟IP访问,需将此处设置为any
    • 源地址:all
    • 流出接口: internal
    • 目的地址: webserver //定义好的虚拟IP映射对象
    • 服务: HTTPS //只允许进行HTTPS服务访问
    • 注意:如内网用户也需通过虚拟IP访问,有2种方式可实现:
      • 需将原策略的【流入接口】设置为any,并在该策略上开启NAT
      • 或者添加一条【流入接口】为internal的内到内策略,并在该策略上开启NAT
    • NAT:根据需求开启,如果内网服务器到源客户端公网IP没有路由可达,仅有到达FortiGate内网口的路由,则需要开启NAT,在做DNAT之后再做一次源NAT,将源IP转换为FortiGate内网口IP
    • 动作:接受

结果验证

从外部进行访问https://202.1.1.11 ,如果需要测试映射是否有效可以在策略的服务临时添加ping服务进行测试。

注意事项

  1. VIP配置中的外部IP不能配置为现有网络中其他设备的IP、FortiGate的网关IP,也不能配置为内网客户端正常上网可能访问的IP地址。这是由于FortiGate配置VIP后,extip属于FortiGate自身的IP地址,即使VIP没有被防火墙策略引用,所有访问该IP的流量经过FortiGate时都会被FortiGate引流到自身,影响正常的业务。
  2. 强烈建议在配置VIP时,选择绑定接口,这样可以防止VIP在其他接口响应ARP导致的网络问题。

Copyright © 2024 Fortinet Inc. All rights reserved. Powered by Fortinet TAC Team.
📲扫描下方二维码分享此页面👇
该页面修订于: 2023-12-11 14:31:11

results matching ""

    No results matching ""