Настроить переадресацию портов
Для доступа к серверам, находящимся за межсетевым экраном, можно настроить переадресацию портов (проброс портов, port forwarding). Это позволяет получать доступ к серверу, не зная внутреннего IP-адреса сервера. Пользователи также могут подключаться, используя только те порты, которые были выбраны.
Настройки в инструкции актуальны для версий FortiOS 6.x и 7.x. Если у вас другая версия FortiOS, вы можете найти документацию для нее в панели управления FortiGate в верхнем правом углу или на официальном сайте FortiGate.
Настройка доступа к серверу по SSH:
- Создание виртуального IP-адреса.
- Создание группы виртуальных IP-адресов.
- Настройка политики безопасности.
Создать виртуальный IP-адрес
Графический интерфейс
CLI
Чтобы создать виртуальный IP-адрес (VIP):
- Перейдите в раздел Policy & Objects → Virtual IPs и создайте новый виртуальный IP-адрес.
- В качестве External IP Address/Range укажите IP-адрес вашего межсетевого экрана, а в качестве Mapped IP Address/Range внутренний адрес сервера.
- Включите Port Forwarding. Для Protocol установите значение на TCP, для External Service Port любой свободный порт, для Map to Port установите порт, на котором работает служба SSH вашего сервера. По умолчанию это порт
22.
Создать группу виртуальных IP-адресов
Графический интерфейс
CLI
Чтобы добавить виртуальные IP-адреса в виртуальную IP-группу:
- Перейдите в раздел Policy & Objects → Virtual IPs и создайте новую группу.
- Установите новые виртуальные IP-адреса в Members.
Настроить политику безопасности
Графический интерфейс
CLI
Чтобы разрешить доступ к серверу из интернета:
- Перейдите в раздел Policy & Objects → IPv4 Policy и создайте новую политику.
- В качестве Incoming Interface выберите внешний интерфейс, а в качестве Outgoing Interface — внутренний.
- Выберите в качестве Destination Address виртуальный IP-адрес или группу.
Для этой политики NAT отключен, так что сервер видит исходные адреса источников, которые он получает. Это предпочтительный параметр.