[Fortigate - 방화벽] 방화벽 정책 & NAT

2023. 9. 7. 23:15

- 방화벽 콘솔 접근은 외부에서 불가하도록 설정 권고

- 현재 진행 중인 작업 편의를 위해 Port를 변경(추후 Close 예정)

[설정 방법]

- "System -> Settings -> Administration Settings" 중 HTTP port를 원하는 Port로 변경

- 이제는 81 Port로 접근해야 콘솔 접근 가능

- 콘솔 접근 Port를 81로 변경하여 현재 80 Port 접근 시 사이트 연결 불가

- 이제 방화벽 WAN IP, 80 Port를 접근하면 내부 웹 서버로 접근할 수 있도록 NAT 설정 진행

[설정 방법]

- "System -> Virtual IPs" -> 설정값 입력

- 이번에 설정한 내용은 WAN IP로 접근 시 172.16.0.2로 Forwarding 하도록 설정

* Optional Filters 기능을 통해 특정 출발지 혹은 서비스에 대해서만 NAT 설정 가능

* Port Forwarding 기능을 통해 외부 Port 와 서로 다른 내부 Port 연결 가능

- 이렇게 NAT 설정을 진행했어도 80 Port 접근 불가

- 방화벽 로그를 확인하면 80 Port 접근이 Policy ID 0번 룰에 의해 차단되고 있음

(해당 로그는 방화벽 정책에서 미리 로그 생성 옵션을 설정한 것으로 아래 내용 참고)

- "Policy & Objects -> Firewall Policy"를 확인하면 위에서 트래픽을 차단한 기본 룰(Policy ID 0)만 존재

=> 해당 룰은 모든 출발지에서 모든 목적지 접근에 대해 차단(Deny)하는 룰

- 트래픽을 허용할 룰을 추가하기 위해 "Create New" 클릭

- 룰 내용은 적절하게 입력

=> Name은 해당 룰에 이름을 지정

In, Out Interface는 트래픽이 들어오는, 나가는 Port(외부에서 접근 시 In은 WAN Port)

Source는 허용할 출발지는 모두가 접근 가능하도록

Destnation은 2번에서 만든 Virtual IP

Service는 해당 정책을 적용할 서비스

- 룰에서 로그 발생하도록 아래 쪽의 "Logging Options"을 "All Sessions"으로 선택

- 이렇게 룰을 작성하면 정상적으로 서비스 동작

- 발생한 Log는 "Log & Report -> Forward Traffic"에서 확인 가능

=> Web_allow 룰에 의해 Accept 확인

(추가로 Log 내 목적지를 WAN IP가 아닌 실제 목적지 IP를 원한다면 Destination NAT IP를 확인하자)

C-Dragon