Перейти к основному содержимому

Настроить переадресацию портов

Последнее изменение:
к сведению

Это инструкция для настройки переадресации портов на межсетевом экране для доступа к серверам по SSH.

Для доступа к серверу за межсетевым экраном можно настроить переадресацию портов (port forwarding). Это позволяет подключаться к серверу по публичному IP-адресу межсетевого экрана без необходимости знать приватный адрес сервера. Пользователи будут подключаться к серверу только по тем портам, которые вы укажете в настройках.

Настройки в инструкции актуальны для версий FortiOS 6.x и 7.x. Если у вас другая версия FortiOS, вы можете найти документацию для нее в панели управления FortiGate в верхнем правом углу или на официальном сайте FortiGate.

Чтобы настроить переадресацию портов:

  1. Создайте виртуальный IP-адрес.
  2. Опционально: создайте группу виртуальных IP-адресов.
  3. Создайте политику безопасности.

1. Создать виртуальный IP-адрес

Виртуальный IP-адрес связывает публичный адрес межсетевого экрана с приватным адресом сервера за межсетевым экраном. Когда пользователь обращается по публичному адресу, FortiGate перенаправляет запрос на нужный сервер.

  1. Подключитесь к межсетевому экрану.

  2. Перейдите в раздел Policy & ObjectsVirtual IPs.

  3. Нажмите Create New и выберите Virtual IP.

  4. В разделе VIP Type выберите IPv4.

  5. В поле Name введите имя виртуального IP-адреса.

  6. Опционально: в поле Comments введите комментарий для виртуального IP-адреса.

  7. В поле Interface укажите, через какой интерфейс межсетевого экрана будет доступен виртуальный IP-адрес:

    • чтобы IP-адрес был доступен только через один интерфейс, выберите этот интерфейс. Например, wan1;
    • чтобы IP-адрес был доступен через все интерфейсы, выберите any.
  8. В поле External IP Address/Range укажите публичный IP-адрес межсетевого экрана, который вы получили в тикете после заказа услуги.

  9. В поле Mapped IP Address укажите приватный адрес сервера за межсетевым экраном, к которому нужно настроить доступ по протоколу SSH.

  10. Включите тумблер Port Forwarding.

  11. В поле Protocol выберите TCP.

  12. В поле External Service Port укажите свободный порт на межсетевом экране. Например, 8080.

  13. В поле Map to Port укажите порт, на котором запущена служба SSH на сервере за межсетевым экраном. По умолчанию это порт 22.

  14. Нажмите OK.

2. Опционально: создать группу виртуальных IP-адресов

Группы виртуальных IP-адресов упрощают управление политиками безопасности: политика применяется ко всей группе, а не для каждого IP-адреса отдельно. Например, можно разрешить подключение по протоколу SSH сразу ко всем IP-адресам в группе.

  1. В панели управления FortiGate перейдите в раздел Policy & ObjectsVirtual IPs.

  2. Нажмите Create New и выберите Virtual IP Group.

  3. В поле Type выберите IPv4.

  4. В поле Name введите имя группы виртуальных IP-адресов.

  5. Опционально: в поле Comments введите комментарий для группы виртуальных IP-адресов.

  6. В поле Interface укажите, через какой интерфейс межсетевого экрана будет доступна группа виртуальных IP-адресов:

    • если все IP-адреса группы привязаны к одному интерфейсу, выберите этот интерфейс. Например, wan1;
    • если IP-адреса группы привязаны к разным интерфейсам, выберите any.
  7. В поле Members выберите виртуальные IP-адреса, которые нужно включить в группу, — виртуальный IP-адрес, который вы создали на этапе 1, и другие IP-адреса.

  8. Нажмите OK.

3. Создать политику безопасности

Политика безопасности определяет, какой трафик межсетевой экран будет пропускать между своими интерфейсами. Например, с помощью политики можно разрешить подключение к серверам за межсетевым экраном с определенного IP-адреса и по определенному порту. Если политики безопасности не созданы, весь трафик отбрасывается.

  1. В панели управления FortiGate перейдите в раздел Policy & ObjectsIPv4 Policy.

  2. Нажмите Create New.

  3. В поле Name введите имя политики безопасности.

  4. В поле Incoming Interface выберите публичный интерфейс межсетевого экрана.

  5. В поле Outgoing Interface выберите приватный интерфейс межсетевого экрана.

  6. В поле Source выберите all.

  7. В поле Destination выберите целевой адрес:

  8. В поле Schedule выберите always.

  9. В поле Service выберите all.

  10. В поле Action выберите Accept.

  11. Выключите тумблер NAT. Серверы за межсетевым экраном будут получать исходные IP-адреса подключений.

  12. Нажмите OK.