[]
network port açma fortigate
Merhabalar,
FortiGate 60E-DSL model bir firewall var. Bu cihazın kontrol ettiği ağda belirli bir portta hizmet veren bir sunucu çalışıyor. ben de bu cihaza bir web server gibi ulaşmak istiyorum.
yapmam gereken belirli bir porttan gelen istekleri ilgili cihaza aynı porttan yönlendirmek sanırım. ancak bu cihazda yapamadım bir türlü. fikri olan var mıdır?
FortiGate 60E-DSL model bir firewall var. Bu cihazın kontrol ettiği ağda belirli bir portta hizmet veren bir sunucu çalışıyor. ben de bu cihaza bir web server gibi ulaşmak istiyorum.
yapmam gereken belirli bir porttan gelen istekleri ilgili cihaza aynı porttan yönlendirmek sanırım. ancak bu cihazda yapamadım bir türlü. fikri olan var mıdır?
firmware sürümünüz nedir? 6.0 ve üzeri ise aşağıdaki makaleye göre yapabilirsiniz.
NAT yapmanız gerekiyor, bunun içinde bir VIP oluşturmalısınız. daha sonrasında o VIP objesini, Fw Policy'de kullanmanız gerekiyor.
docs.fortinet.com
NAT yapmanız gerekiyor, bunun içinde bir VIP oluşturmalısınız. daha sonrasında o VIP objesini, Fw Policy'de kullanmanız gerekiyor.
docs.fortinet.com
- kobretti (21.01.21 09:36:08)
benzer bir makaleye bakmıştım ama olmadı. bir de bunu okuyayım.
- kisa (21.01.21 09:57:25)
yok, başaramadım.
şirketin lokal ağı 192.168 şeklinde gidiyor. VPN ile bağlı olduğumuz data centerda ise windows server bulunuyor ip si 10.255. şeklinde.
şirkete vpn yaparsam ve tabi şirket lanında olursam bu windows server üzerindeki yazılıma ulaşabiliyorum.
makalede anlatıldığı gibi virtualIP oluşturdum ve policy yi yazdım, NAT ı kapattım ama yok.
acaba policynin aktif olması için yeniden başlatma gibi bir şey gerekiyor muduur ya da bir kaç dakika geçmesi?
şirketin lokal ağı 192.168 şeklinde gidiyor. VPN ile bağlı olduğumuz data centerda ise windows server bulunuyor ip si 10.255. şeklinde.
şirkete vpn yaparsam ve tabi şirket lanında olursam bu windows server üzerindeki yazılıma ulaşabiliyorum.
makalede anlatıldığı gibi virtualIP oluşturdum ve policy yi yazdım, NAT ı kapattım ama yok.
acaba policynin aktif olması için yeniden başlatma gibi bir şey gerekiyor muduur ya da bir kaç dakika geçmesi?
- kisa (21.01.21 10:23:45)
kesinlikle restart etmenize veya belirli bir süre geçmesine gerek yok. kullandığınız dış ip'niz statik mi? yoksa dsl de sürekli değişiyor mu?
vip'i external mapped ip olarak neye map'liyosunuz, dsl-wan interface'inize mi? orada bir sorun olduğunu düşünüyorum.
dsl bağlantılarda pppoe interface ile eşleşmesinde problem olabilir.
diyelim dsl ip adresiniz 1.1.1.1 siz mapped external ip olarak 1.1.1.1 -> mapped local ip -> 192.168.x.y yazmanız lazım.
sonrasında policy'de source interface (WAN) ve destination interface (LAN) şeklinde bir policy'de bu oluşturduğunuz VIP objeyi ve servisini kullanmalısınız.
ama aynı ip adresi için üstünde kural varsa, trafik oradan match olur. o yüzden logs & monitor bölümünde istek yaptığınız ip adresinizin loglarına bakın. trafik drop'mu oluyor, sorun nedir fikir verecektir.
vip'i external mapped ip olarak neye map'liyosunuz, dsl-wan interface'inize mi? orada bir sorun olduğunu düşünüyorum.
dsl bağlantılarda pppoe interface ile eşleşmesinde problem olabilir.
diyelim dsl ip adresiniz 1.1.1.1 siz mapped external ip olarak 1.1.1.1 -> mapped local ip -> 192.168.x.y yazmanız lazım.
sonrasında policy'de source interface (WAN) ve destination interface (LAN) şeklinde bir policy'de bu oluşturduğunuz VIP objeyi ve servisini kullanmalısınız.
ama aynı ip adresi için üstünde kural varsa, trafik oradan match olur. o yüzden logs & monitor bölümünde istek yaptığınız ip adresinizin loglarına bakın. trafik drop'mu oluyor, sorun nedir fikir verecektir.
- kobretti (21.01.21 10:37:31)
detaylar için teşekkür ederim.
*Sabit ip
* VIP yi External IP (şirketin sabit WAN ipsi)
Mapped IP ise 10.255 şekline datacenter üzerinde bulunan windows makine IPsi
port forwarding açık TCP de belirli bir port (8077)
*aynı ip için yukarıda çakışan bir kural göremedim.
Log&report ve Monitör sekmeleri ayrı, bir kuralayayım oraları. tekrar teşekkürler.
*Sabit ip
* VIP yi External IP (şirketin sabit WAN ipsi)
Mapped IP ise 10.255 şekline datacenter üzerinde bulunan windows makine IPsi
port forwarding açık TCP de belirli bir port (8077)
*aynı ip için yukarıda çakışan bir kural göremedim.
Log&report ve Monitör sekmeleri ayrı, bir kuralayayım oraları. tekrar teşekkürler.
- kisa (21.01.21 11:02:03)
aklıma geldi, içeriden gelen cevabın da dışarı çıkması için bir kural daha yazmalı mıyım? sorun bu olabilir mi?
bir ek daha
şayet NAT ı açarsam, log düşüyor
Received Bytes 0 B
Received Packets 0
Sent Bytes 260 B
Sent Packets 5
VPN CrtMerkez
VPN Type ipsec-dynamic
Action
Action Accept: session timeout
bir ek daha
şayet NAT ı açarsam, log düşüyor
Received Bytes 0 B
Received Packets 0
Sent Bytes 260 B
Sent Packets 5
VPN CrtMerkez
VPN Type ipsec-dynamic
Action
Action Accept: session timeout
- kisa (21.01.21 11:12:41 ~ 11:16:27)
dışarıdan gelen trafik için nat'ı açmanıza gerek yok. tcp-ip protokolu stateful çalışır. dolayısıyla, dışarıdan gelen bir trafiğin dönüşü yine aynı tcp session üzerinden olur.
ama gönderdiğiniz log'a baktığımda cihaz üzerinde ipsec kurulu olduğunu görüyorum, dolayısıyla trafik mevcut konfigurasyonunuza göre default route'u ipsec'den dönüyor olabilir.
tüm yapıyı bilmeden bu konuda net birşey söylemek mümkün değil. ilgili sunucunun trafiğinin doğru interface'e dönmesi için ya PBR ya da statik route yazmanız gerekebilir.
eğer işlemlerden emin değilseniz yapının tümü bozulabilir, yaparken dikkat edin derim.
ama gönderdiğiniz log'a baktığımda cihaz üzerinde ipsec kurulu olduğunu görüyorum, dolayısıyla trafik mevcut konfigurasyonunuza göre default route'u ipsec'den dönüyor olabilir.
tüm yapıyı bilmeden bu konuda net birşey söylemek mümkün değil. ilgili sunucunun trafiğinin doğru interface'e dönmesi için ya PBR ya da statik route yazmanız gerekebilir.
eğer işlemlerden emin değilseniz yapının tümü bozulabilir, yaparken dikkat edin derim.
- kobretti (21.01.21 11:35:31)
sanırım pes etme zamanı, teşekkürler.
- kisa (21.01.21 12:44:16)
1