24T8 Port Forwarding w 11 min. [Konfiguracja Fortigate]

Link do artykułu.

0:00 Wprowadzenie

0:41 Topologia

1:58 Konfiguracja

7:47 Testowanie Windowsa

10:02 Podsumowanie

Transkrypcja

W dzisiejszym odcinku konfiguracja trzech usług w ramach Port Forwardingu na Fortigate czyli pokażę jak skonfigurować sobie trzy usługi www, FTP i RDP do tego żeby można było je osiągać przez interfejs WANowy przekierowując na jednym publicznym adresie IP do poszczególnych usług które są na prywatnych adresach IP. Tą konfigurację można wykorzystać w przypadku wykorzystywania NATa natomiast oczywiście nie zalecam wystawienia takiej funkcjonalności do internetu. Do internetu powinien być wystawiony interfejs VPNowy.

No to zacznijmy najpierw od tego co tutaj jest. Mamy połączenie VAN czyli nasza sieć 172.168.52.0 to będzie symulacja naszego VANu Czyli adresacji publicznej. Jeżeli chodzi o hosta końcowego czyli będziemy testować z Windowsa 10 ale to mało znaczenie ma jaki ma adres, ważniejszy jest jaki jest adres interfejsu Fortigate czyli z końcówką 120 to będzie ten publiczny adres w sieci 192.168.52 na który będziemy się próbowali dostać konfigurując politykę wirtualnych serwerów czyli ten wirtualny serwer w sieci wewnętrznej czyli na przykład dla RDP będzie miał adres 20.20.20.10 i on będzie tutaj NATowany czyli ten Destination NAT czyli stąd będzie szedł pakiet na adres z sieci VAN z końcówką 120, ta część pakietu będzie czy adresu w pakiecie będzie NATowana na adres 20.20.20.10 dla usługi RDP i podobnie dla usługi FTP dla poszczególnych sieci serwera www.

No to zobaczmy jak to się konfiguruje. Mamy w Policy & Objects Virtual IPs I tu kreujemy sobie nowe wirtualne adresy IP. Nazywamy… to akurat dla serwera www i External IP address zgodnie z tym co wcześniej pokazałem 192.168.52 z końcówką 120 a wewnętrzny adres w zależności od usługi dla www będzie to 10.10.10.2 Port Forwarding czyli to jest ten NAT o którym mówiłem czyli ten Destination NAT i teraz zewnętrzny port 8080 będzie mapowany na wewnętrzny adres IP na ten 10.10.10.2 na port 80 i dzięki temu możemy na jednym publicznym adresie IP wskazując różne porty external wysyłać tą komunikację na dowolny wirtualny serwer wewnętrzny z portem 80. Możemy w ten sposób to zróżnicować.

Pierwszy wirtualny serwer stworzony, podobnie konfigurujemy dwa pozostałe. Teraz FTP. Interface WAN. Wewnętrzny adres 15.15.15.5 i ten port external 2121 a wewnętrzny czyli ten serwera już 21. To też oznacza że jak klienta będziemy używać to musimy od strony klienta ten external port wskazać czyli w przypadku FTP 2121. No i na koniec RDP. Ten sam publiczny adres IP. Wewnętrzny 20.20.20.10 no i tu przyjmiemy port 3389 i wewnętrzny też 3389. Ponieważ tego portu nie będziemy używać do niczego innego możemy ten jeden, Ten standardowy port RDP przeznaczyć. Tutaj jeżeli chodzi o inne porty no to w zależności od tego jakie mamy usługi i w jaki sposób chcemy się dostać do naszego urządzenia i czy w ogóle zezwalamy na przykład do tego Fortigate na dostanie się w jakikolwiek sposób. Na przykład SSH na interfejsie publicznym.

To już jest kwestia naszej polityki. Oczywiście nie zachęcam, z zewnętrznego interfejsu powinna być łączność tylko do VPN ewentualnie i to też najlepiej gdyby ten VPN był terminowany w DMZcie wewnątrz a nie na samym urządzeniu. No dobra to mamy teraz trzy wirtualne serwery skonfigurowane. Automatycznie w zakładce policy and objects Pojawiły nam się trzy takie sekcje i dla każdej z nich musimy zdefiniować politykę bezpieczeństwa. No to najpierw polityka Apache. Czyli dla serwera www. Określamy jakieś kryteria typu porty. Destination www czyli tutaj już została wcześniej zdefiniowana, że serwer www to jest po prostu taki konkretny adres IP i to tyle, ok. i widzimy, że nam się pojawiła tutaj polityka w części WAN, www, czyli dotycząca serwera www.

Podobnie dla usługi FTP od portu WAN do portu FTP. Destination FTP. Serwis może być ALL, NAT wyłączamy. Tu zauważ, że tutaj wyłączamy na poziomie tej polityki tą usługę NAT. O tak. Dlatego, że wirtualny serwer już nam pewne NATowanie zapewnia więc chcemy żeby to zadziałało więc stosujemy jeden typ NAT. No i na końcu RDP od portu WAN do portu RDP. Destynation RDP. W tym przypadku serwis ALL, wyłączamy NATa. Mamy trzy konfiguracje zrobione.

Teraz możemy testować z Windowsa 10 po lewej stronie będziemy się łączyć na te trzy usługi i zobaczymy jak nam działa ta nasza konfiguracja. No to zaczynamy od serwera i wpisujemy port 80 i zauważ port 80 skierował nas na interfejs www Fortigate ale my robiliśmy przekierowanie na porcie 8080. No to zmieńmy port I proszę bardzo mamy Apache. Jak już wspomniałem wcześniej czyli Ubuntu. Ten serwer na który chcieliśmy się przekierować. Tak jak wspomniałem wcześniej oczywiście absolutnie nie powinno się na interfejsie WAN wystawiać jakichkolwiek serwisów na Fortigate. W ostateczności niektórzy widzę stosują jak chcą oszczędnościowo podejść czyli VPN i to jest jedyna opcja, która powinna być stosowana jeżeli chodzi o dobrą praktykę. Teraz połączenie WinSCP czy FTP tak naprawdę przez program WinSCP i na port niestandardowy

Taki skonfigurowaliśmy sobie w naszej polityce wirtualnego serwera. Jakieś oczywiście hasło na tym serwerze użytkownika powinno być skonfigurowane.
Jest, łączymy się, przekierowanie widać działa. Możemy jeszcze spróbować pobrać sobie plik. No widać plik został pobrany. Czyli dwie usługi z trzech skonfigurowanych widać że działają. No i na koniec RDP. Tutaj nie zmieniamy portu bo działamy na standardowym porcie. Nazwę użytkownika, login i powinniśmy się połączyć. Czyli usługa RDP również działa prawidłowo.

I na dzisiaj to tyle. Jeżeli masz jakieś pytania co do zakresu funkcjonalności Port Forwardingu albo scenariuszy w jakich się ich używa to oczywiście napisz w komentarzu, ja chętnie rozwinę ten temat w jednym z kolejnych odcinków. Na dzisiaj to tyle, do zobaczenia w kolejnym odcinku.