Fortinet criando regras de acessos a site interno (NAT)

Vamos criar um regra de NAT para publicarmos um site interno em nosso servidor WEB passando por nosso Firewall (Fortinet), neste exemplo vamos utilizar:

1–> Um servidor Windows Server 2008 R2 com IIS – IP Privado 10.10.10.144

2–> Um Fortinet (Firewall), vamos utilizar duas interfaces uma Privada (LAN) 10.10.10.100 e uma interface Publica (WAN) IP 172.16.0.3

Neste exemplo temos a seguinte configuração de IP público 172.16.0.0/25 ou seja 172.16.0.1 – 172.16.0.126

image

Agora vamos as configurações

Interface LAN do firewall port1

IP 10.10.10.100/24

image

Interface WAN port3

IP 172.16.0.3/27

image

Agora vamos criar os objetos no Firewall

Clique em “Firewall Objects”

image

Depois em “Address” e “Creat New”

image

Name: Vamos usar o nome do servidor, neste exemplo “WIN-O4SBIGBT2RR”
Color: A sua escolha
Type: Subnet
Subnet / IP Range: 10.10.10.144 (IP de nosso servidor)
Interface: Escolha a interface LAN port1
Show in Address List: Vamos deixar habilitado
Clique em OK

image

Agora temos nosso objeto Servidor criado

image

Agora vamos criar para Virtual IP

Em Firewall Objects clique em Virtual IP

image

Clique em “Create New”

image

Name: Vamos colocar um nome amigável, neste exemplo “Port_80_WEB”
External IP Address/Range: vamos colocar um IP válido neste nossa range de IP’s públicos, neste caso 172.16.0.5-172.16.0.5
Mapped IP Address/Range: vamos colocar o IP de nosso servidor WEB 10.10.10.144
Port Forwarding: vamos habilitar
Protocol: Vamos marcar “TCP”
External Service Port: vamos colocar a porta 80, lembrando que essa será a porta externa para comunicação.
Map to Port: vamos colocar 80, lembrando que aqui é a porta interna do servidor

image

Agora em “Firewall Objects” vamos em IP POLL

image

Clique agora em “Creat New”

image

Name: um nome amigável neste exemplo PUBLIC_172_16_0_5
External IP Range/Subnet: 172.16.0.5-172.16.0.5
Type: vamos habilitar “Overload”
ARP Reply: vamos deixar habilitado

image

Agora vamos criar as politicas, clique em “Policy”

image

Clique em “police” – Creat New” (Está será a regra de saída OUT)

Police Type: Firewall
Police Subtype: Address
Incoming interface: port1(LAN)
Source Address: nosso servidor WEB “WIN-04SBIGBT2RR”
Outgoing Interface: port3 (WAN2)
Destination Address: all
Schedule: always
Service: HTTP (liberamos somente esta porta 80, pois neste servidor só roda o IIS), desta forma fica mais seguro
Action: ACCEPT
Enable NAT: habilite esta opção
Use Dynamic IP Pool: está opção tem que ser marcada, aqui vamos colocar o IP público para poder funcionar a regra de NAT neste exemplo como já criamos em IP Pool “PUBLIC_172_16_0_5
Log Allowed Traffic: habilite está opção para podermos monitorar o trafego que passando pelo Firewall.

image

Agora vamos criar a regra de entrada “IN”

Clique em “Policy” – “Create New”

Policy Type: Firewall
Policy Subtype: Address
Incoming Interface: port3 (WAN)
Source Address: “all” aqui decidimos da onde vem o trafego, podemos determinar algumas range’s de IP, mas não é neste caso, deixaremos com “ALL” qualquer lugar
Outgoing Interface: port1(LAN) a porta LAN
Destination Address: vamos colocamos nosso “Virtual IP” que criamos o “Port_80_WEB”, este diz que a porta 80 será direcionada para nosso servidor com IP 10.10.10.144
Schedule: ALL
Service: “HTTP”
Action: ACCEPT
Log Allowed Traffic: vamos deixar habilitado para podermos ver o trafego

Clique em ok.

image

Pronto acabamos de publicar nosso servidor WEB de forma segura.

Acessado pelo servidor em http://localhost

image

Acessado pelo servidor em http://10.10.10.144

image

Agora acessado de forma pública, pelo IP PÚBLICO

image

36 comentários

  1. Charles como eu posso direcionar o link para uma aplicação que roda em um servidor local, eu adicionei o host no dns e preciso criar um apontamento direto para essa aplicação por exemplo \\servidorX\aplicação:80

    Curtir

      1. Publico apenas para a rede interna, quero fazer um direcionamento para não precisar colocar o ip no navegador e usar apenas um alias
        Hoje acesso pelo navegador \\nomedoservidor\aplicação
        e gostaria de criar um nat para digitar em end no navegador e ele apontar direto para a plicação
        ex http://www.minhaaplicação.com.br

        Curtir

      1. Tenho wan1 e lan1

        Eu fui la em Address x , e criei um direcionando para o ip externo.

        Posterior a isso foi em policy e criei uma regra dizendo que da wan1 para lan1 o ip externo do FTP
        service all ta liberado.

        Porem mesmo assim o ftp nao esta funcionando

        teria como me passar seu e-mail, tiro as prints da tela.

        Curtir

  2. Boa tarde,

    Muito bom o material, bem didático e simples. Porém apenas uma dica:

    Você não precisa criar um Overload de IP para um NAT externo. Isso é feito para quando você necessita que uma police faça o trafego Interno > Externo usando como saída o IP definido no Overload e com isso habilita o Dynamic IP Pool na referida police.

    Exemplo: Preciso que o meu Relay de SMTP fale com o Office 365 pelo IP final 34, diferente do IP da minha Interface WAN que seria 33. Ai sim você pode usar o recurso de Overload em IP POLL, para nats de entrada isso não é necessário 🙂

    Abs

    Curtir

  3. Boa tarde,

    Muito bom o material, bem didático e simples. Porém apenas uma dica:

    Você não precisa criar um Overload de IP para um NAT externo. Isso é feito para quando você necessita que uma police faça o trafego Interno > Externo usando como saída o IP definido no Overload e com isso habilita o Dynamic IP Pool na referida police.

    Exemplo: Preciso que o meu Relay de SMTP fale com o Office 365 pelo IP final 34, diferente do IP da minha Interface WAN que seria 33. Ai sim você pode usar o recurso de Overload em IP POLL, para nats de entrada isso não é necessário:)

    Abs

    Curtir

  4. Charles, boa tarde.

    Gostaria de criar um NAT usando apenas um ip público para publicar 5 ips internos, onde cada ip interno responde por uma porta diferente.

    Att.

    Curtir

  5. Olá, muito bom o Tutorial, porem tive dificuldade para realizar um procedimento parecido. Preciso ter acesso ao sistema de câmeras pelo App da intelbras, a porta de serviço no equipamento é 9000 o iP interno 10.105.207.6 – e no meu FGT tenho 1 porta (port 1) que acessa o Switch onde tenho 2 VLAN e 2 Links fazendo wan-load-balance, (Tudo na porta 1). No meu caso, para funcionar o sistema de câmeras terei que separar uma porta especifica do FGT com IP externo e seguir o passo a passo, ou tem como configurar da forma como trabalho?

    Curtir

  6. Ola Charles, ótimo post e foi através dele que tive uma duvida para um cenário interno. Estou na versão 5.6.2 do forti. Tenho apenas 1 ip valido x.x.x.x e tenho duas aplicações web em hosts diferentes apl1.empresa.com.br e apl2.empresa.com.br e gostaria de colocar as duas na porta 80 de quem acessa pelo ip valido x.x.x.x, ou seja o fortigate deveria ler o que vem na URL. Poderia me ajudar? Segui uns tutoriais https://networkengineering.stackexchange.com/questions/3067/load-balancing-difference-between-dns-and-ip-forwarding-vs-redirecting porem na minha versão não encontro o parâmetro set ldb-method http-host nem consigo adicionar realserver com set http-host “apl1.empresa.com.br”

    Curtir

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s