Nguồn NATing Fortigate kịch bản điển hình


7

nhập mô tả hình ảnh ở đây

Tôi có một truy vấn nhỏ liên quan đến NATing trong Fortigate. Tôi đặc biệt bị kịch bản trong đó mạng từ xa cho phép người dùng có dải IP cụ thể với một cổng cụ thể cho RDP qua một bộ liên kết vật lý khác.

Người dùng (192.168.60.0/24) trong mạng LAN nên kết nối với 10.48.1.3 trên mạng từ xa được kết nối với các cổng Nội bộ trên Pháo đài (Cũng không phải là mạng WAN vì nó được sử dụng cho internet).

Liên kết giữa tường lửa và điều khiển mạng từ xa đã được thiết lập (10.189.254.17-10.189.254.18). Tôi có thể ping tường lửa từ xa xen kẽ 10.189.254.17.

Quản trị viên muốn chúng tôi truy cập 10,48.1.3 qua cổng 3389 thông qua 10.189.1.8-10.189.1.15 (IP được phép trên tường lửa từ xa).

Vì vậy, về cơ bản, người dùng (ví dụ: Nguồn: 192.168.60.15 cần truy cập Đích 10.48.1.4 thông qua các IP được phép (10.189.1.8-10.189.1.15) qua liên kết vật lý giữa Pháo đài & tường lửa từ xa (10.189.254.18-18.189.254.17).

Tôi đã thử chuyển tiếp cổng VIP (NAT tĩnh) (Nguồn NAT), IP Pool (NAT đích), nhưng không có trợ giúp.

Xin tư vấn cách tiến hành. Đó là một kịch bản điển hình, chúng ta có thể đạt được nó?


Có câu trả lời nào giúp bạn không? nếu vậy, bạn nên chấp nhận câu trả lời để câu hỏi không xuất hiện mãi mãi, tìm kiếm câu trả lời. Ngoài ra, bạn có thể cung cấp và chấp nhận câu trả lời của riêng bạn.
Ron Maupin

Câu trả lời:


1

Theo Quy tắc chính sách của bạn để cho phép truy cập từ 192.168.60.15 đến 10.48.1.4.

Chỉ cần chọn NAT sau đó tạo Pool và đặt dải IP là 10.189.1.8-10.189.1.15.

Điều quan trọng để làm việc này là bạn có lộ trình trên pháo đài của mình từ điểm 10,48.1.4 đến 10.189.254.17 và cuối cùng là 10.189.254.17 biết 10.189.1.8-10.189.1.15 tồn tại qua 10.189.254.18.

Đó là một quy tắc khá chuẩn và âm thanh có thể đạt được. Một số gói chụp có thể giúp bạn gỡ lỗi.


Xin chào Smith, Khi sử dụng nhóm IP cho NATing, có một hạn chế phải được tính đến khi định cấu hình nhóm. Nếu địa chỉ IP trong nhóm khác với địa chỉ IP được gán cho giao tiếp giao diện dựa trên các địa chỉ IP đó sẽ không thành công. Ví dụ: nếu các địa chỉ IP được gán cho giao diện là 172.16.100.1 -172.16.100.14, bạn không thể chọn 10.11.12.50 - 10.11.12.59 cho nhóm IP.
Faizan Nizam

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.