Source NATing Fortigate典型场景

网络工程 纳特 加强 堡垒 snat 脱氧核糖核酸
2021-07-13 02:10:18

在此处输入图片说明

我有一个关于 Fortigate 中的 NAT 的小问题。我对远程网络允许具有特定 IP 范围的用户和 RDP 的特定端口通过一组不同的物理链接特别感到震惊。

LAN 中的用户(192.168.60.0/24)应连接到远程网络上的 10.48.1.3,该网络连接到 Fortigate 上的内部端口(也不是 WAN,因为它用于互联网)。

远程网络防火墙和 Fortigate 之间的链接已建立 (10.189.254.17-10.189.254.18)。我可以 ping 远程防火墙接口 10.189.254.17。

管理员希望我们通过 10.189.1.8-10.189.1.15(远程防火墙上允许的 IP)通过 3389 端口访问 10.48.1.3。

所以基本上,用户(例如:来源:192.168.60.15 需要通过允许的 IP(10.189.1.8-10.189.1.15)通过 Fortigate 和远程防火墙(10.189.254.18-125.18)之间的物理链接访问目标 10.48.1.4。

我尝试过 VIP(静态 NAT)(源 NAT)端口转发、IP 池(目标 NAT),但没有帮助。

请建议如何进行。这是一个典型的场景,我们能做到吗?

2个回答

根据您的策略规则,允许从 192.168.60.15 到 10.48.1.4 的访问。

只需选择 NAT,然后创建一个池并将 IP 范围设置为 10.189.1.8-10.189.1.15。

这个工作的关键是你在你的堡垒上有路由指向 10.48.1.4 到 10.189.254.17 最后 10.189.254.17 知道 10.189.1.8-10.189.1.15 通过 10.189.254.15 活着回来

这是一个非常标准的规则,听起来是可以实现的。一些数据包捕获可能会帮助您调试问题。

是的,我了解您的情况和您的要求 ..从 fortigate 200d 连接的交换机 LAN 用户访问 RDP 端口(即 3389)上远程防火墙上的资源

对于您的要求,不需要 natting. 请在fortigate 200D中配置静态路由如下

Ip route 10.48.1.0 255.255.255.0 points towards gateway 10.189.254.17

以及用于远程 n/W 防火墙中的反向流量静态路由 Ip route 192.168.60.0 255.255.255.0 pointing towards gateway 10.189.254.18

并在防火墙中有允许流量的安全策略

fortigate 200D 中的政策

Source interface : interface Port need to mention Destination interface : interface Port need to mention Source address :192.168.60.15/32 Destination address :10.48.1.4/32 Port :tcp-3389 Action : allow Security profiles : on

现在远程 n/w 防火墙中的安全策略

Source interface : egress interfàe of firewall Destination interface :ingress interface of firewall Source address : 192.168.60.15/32 Destination address :10.48.1.4/32 Port :3389/TCP Action : allowed Security profiles :on .

现在 fortigate 200D 局域网用户的用户可以在端口 3389 上访问远程网络防火墙上的内部托管服务器

为了进一步的安全性,如果您想隐藏您的 ip,那么您可以在 fortigate 200D 防火墙中使用源 natting,但要实现此目的,您需要在 fortigate 200d 中配置静态路由,并将目标作为源 nat 池指向。通往网关 192.189.254.17..同样..

其它你可能感兴趣的问题
上一篇dhcp 失败。正在使用apipa 下一篇接口在单端 LACP 配置中的行为如何?