[]

network port açma fortigate

Merhabalar,
FortiGate 60E-DSL model bir firewall var. Bu cihazın kontrol ettiği ağda belirli bir portta hizmet veren bir sunucu çalışıyor. ben de bu cihaza bir web server gibi ulaşmak istiyorum.
yapmam gereken belirli bir porttan gelen istekleri ilgili cihaza aynı porttan yönlendirmek sanırım. ancak bu cihazda yapamadım bir türlü. fikri olan var mıdır?


 
firmware sürümünüz nedir? 6.0 ve üzeri ise aşağıdaki makaleye göre yapabilirsiniz.

NAT yapmanız gerekiyor, bunun içinde bir VIP oluşturmalısınız. daha sonrasında o VIP objesini, Fw Policy'de kullanmanız gerekiyor.

docs.fortinet.com
  • kobretti  (21.01.21 09:36:08) 
benzer bir makaleye bakmıştım ama olmadı. bir de bunu okuyayım.


  • kisa  (21.01.21 09:57:25) 
yok, başaramadım.
şirketin lokal ağı 192.168 şeklinde gidiyor. VPN ile bağlı olduğumuz data centerda ise windows server bulunuyor ip si 10.255. şeklinde.

şirkete vpn yaparsam ve tabi şirket lanında olursam bu windows server üzerindeki yazılıma ulaşabiliyorum.

makalede anlatıldığı gibi virtualIP oluşturdum ve policy yi yazdım, NAT ı kapattım ama yok.
acaba policynin aktif olması için yeniden başlatma gibi bir şey gerekiyor muduur ya da bir kaç dakika geçmesi?
  • kisa  (21.01.21 10:23:45) 
kesinlikle restart etmenize veya belirli bir süre geçmesine gerek yok. kullandığınız dış ip'niz statik mi? yoksa dsl de sürekli değişiyor mu?

vip'i external mapped ip olarak neye map'liyosunuz, dsl-wan interface'inize mi? orada bir sorun olduğunu düşünüyorum.

dsl bağlantılarda pppoe interface ile eşleşmesinde problem olabilir.

diyelim dsl ip adresiniz 1.1.1.1 siz mapped external ip olarak 1.1.1.1 -> mapped local ip -> 192.168.x.y yazmanız lazım.

sonrasında policy'de source interface (WAN) ve destination interface (LAN) şeklinde bir policy'de bu oluşturduğunuz VIP objeyi ve servisini kullanmalısınız.

ama aynı ip adresi için üstünde kural varsa, trafik oradan match olur. o yüzden logs & monitor bölümünde istek yaptığınız ip adresinizin loglarına bakın. trafik drop'mu oluyor, sorun nedir fikir verecektir.
  • kobretti  (21.01.21 10:37:31) 
detaylar için teşekkür ederim.
*Sabit ip
* VIP yi External IP (şirketin sabit WAN ipsi)
Mapped IP ise 10.255 şekline datacenter üzerinde bulunan windows makine IPsi
port forwarding açık TCP de belirli bir port (8077)
*aynı ip için yukarıda çakışan bir kural göremedim.
Log&report ve Monitör sekmeleri ayrı, bir kuralayayım oraları. tekrar teşekkürler.
  • kisa  (21.01.21 11:02:03) 
aklıma geldi, içeriden gelen cevabın da dışarı çıkması için bir kural daha yazmalı mıyım? sorun bu olabilir mi?
bir ek daha
şayet NAT ı açarsam, log düşüyor

Received Bytes 0 B
Received Packets 0
Sent Bytes 260 B
Sent Packets 5
VPN CrtMerkez
VPN Type ipsec-dynamic

Action
Action Accept: session timeout
  • kisa  (21.01.21 11:12:41 ~ 11:16:27) 
dışarıdan gelen trafik için nat'ı açmanıza gerek yok. tcp-ip protokolu stateful çalışır. dolayısıyla, dışarıdan gelen bir trafiğin dönüşü yine aynı tcp session üzerinden olur.

ama gönderdiğiniz log'a baktığımda cihaz üzerinde ipsec kurulu olduğunu görüyorum, dolayısıyla trafik mevcut konfigurasyonunuza göre default route'u ipsec'den dönüyor olabilir.

tüm yapıyı bilmeden bu konuda net birşey söylemek mümkün değil. ilgili sunucunun trafiğinin doğru interface'e dönmesi için ya PBR ya da statik route yazmanız gerekebilir.

eğer işlemlerden emin değilseniz yapının tümü bozulabilir, yaparken dikkat edin derim.
  • kobretti  (21.01.21 11:35:31) 
sanırım pes etme zamanı, teşekkürler.


  • kisa  (21.01.21 12:44:16) 
1
buraya yazılanların hakları Sir Anthony Hopkins'e aittir.
yazan eden compumaster, ilgilenen eden fader
modere edenler angelus, Artibir, aychovsky, baba jo, basond, compumaster, deckard, duyulmasi gerektigi kadar, fader, fraise, groove salad, kahvegibi, kaymaktutmayansicaksut, kibritsuyu, monstro, pandispanya, robin, ron dennis
bu sitede yazılanların hiçbiri doğru değildir. site içeriği küçükler için sakıncalı olabilir. yazılardan yazarları sorumludur. kaynak göstermeden alıntılanamaz. devlet tarafından atanmış bir kurumun internet üzerinde kimin hangi bilgiye ulaşıp ulaşamayacağına karar vermesi insan haklarına aykırıdır. web siteleri kullanıcıların istekleri doğrultusunda bağlandıkları yerlerdir. kullanıcılar isterlerse bir web sitesine bağlanmayabilirler. bu güçleri ve imkanları mevcuttur. bir kullanıcı bir siteye bağlanmak istiyorsa bu onun tercihi ve hakkıdır. bağlanmak istemiyorsa bu yine onun tercihi ve hakkıdır. halkın kendisine hizmet etmesi için görevlendirdiği kurumlar hadlerini aşıp halka neye ulaşıp ulaşmayacağını bilmeyen cahil cühela muamelesi edemezler. ebeveynlerin çocuklarını sakıncalı içeriklerden koruması için çok sayıda bedava ve ücretli yazılım mevcuttur. bu yazılımlar bir web tarayıcısını kullanmaktan daha karmaşık teknik bilgi gerektirmemektedir. devletin milletini küçük düşürmesi ve ebleh yerine koyması yasaktır. Skimlinks ile linkler üzerinden yönlendirme payı alınmaktadır.