Это инструкция для настройки переадресации портов на межсетевом экране для доступа к серверам по SSH.
Для доступа к серверу за межсетевым экраном можно настроить переадресацию портов (port forwarding).
Это позволяет подключаться к серверу по публичному IP-адресу межсетевого экрана без необходимости знать приватный адрес сервера.
Пользователи будут подключаться к серверу только по тем портам, которые вы укажете в настройках.
Настройки в инструкции актуальны для версий FortiOS 6.x и 7.x. Если у вас другая версия FortiOS, вы можете найти документацию для нее в панели управления FortiGate в верхнем правом углу или на официальном сайте FortiGate.
Виртуальный IP-адрес связывает публичный адрес межсетевого экрана с приватным адресом сервера за межсетевым экраном. Когда пользователь обращается по публичному адресу, FortiGate перенаправляет запрос на нужный сервер.
<public_ip_address> — публичный IP-адрес межсетевого экрана, который вы получили в тикете после заказа услуги. Например, 203.0.113.2;
<eth_name> — имя интерфейса межсетевого экрана, чтобы IP-адрес был доступен только через этот интерфейс. Список интерфейсов можно посмотреть с помощью команды show system interface. Чтобы IP-адрес был доступен через все интерфейсы, укажите any;
<public_port> — свободный порт на межсетевом экране. Например, 8080;
<private_ip_address> — приватный IP-адрес сервера за межсетевым экраном, к которому нужно настроить доступ по протоколу SSH. Например, 192.168.0.2;
<private_port> — порт, на котором запущена служба SSH на сервере за межсетевым экраном. По умолчанию это порт 22.
2. Опционально: создать группу виртуальных IP-адресов
Группы виртуальных IP-адресов упрощают управление политиками безопасности: политика применяется ко всей группе, а не для каждого IP-адреса отдельно.
Например, можно разрешить подключение по протоколу SSH сразу ко всем IP-адресам в группе.
Графический интерфейс
CLI
FortiOS 6.x
FortiOS 7.x
В панели управления FortiGate перейдите в раздел Policy & Objects → Virtual IPs.
Нажмите Create New и выберите Virtual IP Group.
В поле Type выберите IPv4.
В поле Name введите имя группы виртуальных IP-адресов.
Опционально: в поле Comments введите комментарий для группы виртуальных IP-адресов.
В поле Interface укажите, через какой интерфейс межсетевого экрана будет доступна группа виртуальных IP-адресов:
если все IP-адреса группы привязаны к одному интерфейсу, выберите этот интерфейс. Например, wan1;
если IP-адреса группы привязаны к разным интерфейсам, выберите any.
В поле Members выберите виртуальные IP-адреса, которые нужно включить в группу, — виртуальный IP-адрес, который вы создали на этапе 1, и другие IP-адреса.
Нажмите OK.
В панели управления FortiGate перейдите в раздел Policy & Objects → Virtual IPs.
Выберите Virtual IP Group и нажмите Create New.
В поле Name введите имя группы виртуальных IP-адресов.
Опционально: в поле Comments введите комментарий для группы виртуальных IP-адресов.
В поле Interface укажите, через какой интерфейс межсетевого экрана будет доступна группа виртуальных IP-адресов:
если все IP-адреса группы привязаны к одному интерфейсу, выберите этот интерфейс. Например, wan1;
если IP-адреса группы привязаны к разным интерфейсам, выберите any.
В поле Members выберите виртуальные IP-адреса, которые нужно включить в группу, — виртуальный IP-адрес, который вы создали на этапе 1, и другие IP-адреса.
<eth_name> — имя интерфейса межсетевого экрана, если все IP-адреса группы привязаны к этому интерфейсу. Список интерфейсов можно посмотреть с помощью команды show system interface. Если IP-адреса группы привязаны к разным интерфейсам, укажите any;
<virtual_ip_1>, <virtual_ip_2> — имена виртуальных IP-адресов. Список виртуальных IP-адресов можно посмотреть с помощью команды show firewall vip.
3. Создать политику безопасности
Политика безопасности определяет, какой трафик межсетевой экран будет пропускать между своими интерфейсами. Например, с помощью политики можно разрешить подключение к серверам за межсетевым экраном с определенного IP-адреса и по определенному порту.
Если политики безопасности не созданы, весь трафик отбрасывается.
Графический интерфейс
CLI
FortiOS 6.x
FortiOS 7.x
В панели управления FortiGate перейдите в раздел Policy & Objects → IPv4 Policy.
Нажмите Create New.
В поле Name введите имя политики безопасности.
В поле Incoming Interface выберите публичный интерфейс межсетевого экрана.
В поле Outgoing Interface выберите приватный интерфейс межсетевого экрана.