タグ付けされた質問 「fortinet」

2
Fortigateのポリシールーティング構成
Fortigateファイアウォールを使用して内部ネットワークをインターネットから分離するシナリオがあります(FortiOSバージョン4.0 MR3パッチ11)。現在、単一のインターネット接続がファイアウォールに接続されており、デフォルトの静的ルートを使用して、すべてのインターネットトラフィックがファイアウォールを通過します。2番目のインターネット接続をファイアウォールに接続して、Web閲覧トラフィックなど、特定のトラフィックのみをルーティングします。 このセットアップでは、最初のリンクを介して現在の静的なデフォルトルートを維持し、2番目のインターネットリンクを介して宛先ポートTCP / 80およびTCP / 443でトラフィックをルーティングするために、ポリシールーティングオプションを構成します。予想通り、ポリシールーティングはルーティングテーブルの前に評価され、TCP / 80およびTCP / 443宛てのすべてのトラフィックは、Fortigateに直接接続されているサブネット間のトラフィックを含め、2番目のリンクに送信され、それらの間の通信が中断されます。 シスコ環境では、ポリシールーティングのトラフィックを照合するために使用されるACLを調整し、ACLの先頭で内部ネットワーク間のトラフィックを拒否し、末尾に「permit any」ステートメントを追加します。ただし、Fortigateに同様の方法で動作するように指示する方法が見つかりません。 このシナリオをFortigateで機能させる方法を知っていますか?

1
ソースNATing Fortigateの典型的なシナリオ
FortigateでのNAT処理に関する小さなクエリがあります。特に、リモートネットワークで、特定のIP範囲のユーザーが、物理リンクの異なるセットを介してRDPの特定のポートを使用できるようにするシナリオに打撃を受けています。 LANのユーザー(192.168.60.0/24)は、Fortigateの内部ポート(インターネットに使用されているためWANではない)に接続されているリモートネットワークの10.48.1.3に接続する必要があります。 リモートネットワークファイアウォールとFortigate間のリンクが確立されました(10.189.254.17-10.189.254.18)。リモートファイアウォールのインターフェース10.189.254.17にpingを実行できます。 管理者は、10.189.1.8-10.189.1.15(リモートファイアウォールで許可されたIP)経由で、3389ポート経由で10.48.1.3にアクセスすることを望んでいます。 したがって、基本的に、ユーザー(例:ソース:192.168.60.15)は、Fortigateとリモートファイアウォール(10.189.254.18-18.189.254.17)間の物理リンクを介して、許可されたIP(10.189.1.8-10.189.1.15)経由で宛先10.48.1.4にアクセスする必要があります。 VIP(静的NAT)(ソースNAT)ポート転送、IPプール(宛先NAT)を試しましたが、役に立ちませんでした。 続行方法をアドバイスしてください。これは典型的なシナリオですが、達成できますか?
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.