バーチャルIPの設定

30代未経験ネットワーク@セキュリティエンジニアになるため勉強中のshinです。

今回は、Fortigate60DでバーチャルIPの設定について書いていきます。

バーチャルIPとは

FortigateのバーチャルIPは、宛先NATを行いたいときに使う設定になります。

宛先NATとは、その名の通り宛先のIPアドレスをNAT変換するための機能です。

例)

変換前 変換後
送信元IP 宛先IP 送信元IP 宛先IP
192.168.1.1 192.168.100.1 192.168.1.1 172.31.100.1

宛先NATは、企業間で統合がありIPアドレスを変更できない場合や、宛先NAT+ポートフォワード機能を利用してWebサーバを公開したい場合によく使うNATです。

目的

今回の目的は、バーチャルIPを使用して自宅にあるサーバを外部公開するということをやってみます。

まずはバーチャルIPの設計をしていきましょう。

バーチャルIPの設計

今回の設計では、以下のようにしたいと思います。

  1. インターネット越しに、あるPCよりWebサーバにアクセスさせる
  2. WebサーバはFortigateの配下にあるため、ForitgateのバーチャルIP機能を使用して、パケットを転送する
  3. バーチャルIPアドレスの設定は、以下のようにする
項目
名前 VIP_192.168.12.1
インタフェース wan1
External IPアドレス/範囲 10.0.0.1 – 10.0.0.1
マップれされたIPアドレス/範囲 192.168.12.1- 192.168.12.1
ポートフォワード 有効
プロトコル TCP
Externalサービスポート 80-80
ポートへマップ 80-80

※例のため、ExternalIP(グローバルIP)をプライベートIPで記載しています。

変換イメージ

変換前 変換後
送信元IP 宛先IP 送信元IP 宛先IP
192.168.1.1 10.0.0.1:80 192.168.1.1 192.168.12.1:80


構成図

 

バーチャルIPの作成手順

  1. 「ポリシー&オブジェクト>「バーチャルIP」を選択
  2. 「新規作成」>「バーチャルIP」を選択
  3. 値を入力(事前設計の通りに設定します)
  4. 入力後、「OK」を選択
  5. バーチャルIPが作成されたことを確認

 

続いて、バーチャルIPをポリシーに設定します。
今回は以下の設計で設定します。

ポリシー設計

内容
入力インターフェース wan1
出力インターフェース dmz
送信元 ANY
宛先 VIP_192.168.12.1
サービス HTTP
アクション ACCEPT
NAT 無効

 

 

以上でバーチャルIPの設定は完了です。

これで、外部からグローバルIPアドレス宛にアクセスすると、内部のプライベートIPアドレスへポートフォワードされて、内部のサーバにアクセスできるようになります。

設定手順の動画も取りましたのでよかったら是非見てみてください。

外部へサーバを公開する場合は、是非使用してみてください。
ただし、外部へ公開する場合はセキュリティにお気をつけて。

以上です。ありがとうございました。