NETWORK ENGINEER BLOG

Tips and Reviews for Engineers

FortiGate

Fortigate の SSL-VPN を CLI で設定

FortiOS 5.6 における SSL-VPN 設定の覚書です。ユーザ作成(user01~02を作成) config vdom edit "VDOM 名" config user local edit user01 set type password set passwd "パスワード" next edit user02 set type password set passwd "パスワード" endユ…

URL フィルタ設定

Fortigate では、任意のサイトへのアクセスをブロックする「URL フィルタ」機能があります。 以下、"http://172.16.2.100"へのアクセスをブロックする際の設定例になります。URL フィルタの定義 config webfilter urlfilter edit 1 set name "urlfilter01" c…

Fortigate の IPsec + NAT について②

Fortigate は基本的に送信元 NAT は Pool を使用し、宛先 NAT は VIP を使用しますが、送信元 NAT に VIP(1対1の変換)を適用する事も可能です。 なお、VIP の設定が送信元 NATに利用されるには Inbound Policy が必要です。 Using VIP range for Source NA…

Fortigate の IPsec + NAT について①

Fortigate では、IPsec で VPN を構築しつつ、NAT によるオリジナル IP の送信元/宛先同時変換が可能です。 基本的に、送信元 NAT は Pool を使用し、宛先 NAT は、VIP を使用します。以下、検証環境と設定例になります。 FG01の設定 LAN の設定(FG01) confi…

Fortigate の IPsec 設定方法

Fortigate で VDOM を有効化し、VDOM 上で IPsec を設定する場合の例を紹介します。Hub-and-Spoke ネットワークトポロジーで、Hub 側が「固定IP」、Spoke 側が「不定IP」を想定した IPsec-VPN の設定例になります。Hub 側 Phase1 の設定 config vdom edit VD…

Fortigate の VDOM について

FortiGateでは VDOM(Virtual Domain)によって、1台の Forti Gate 状に複数の仮想 Fortigate を構築することが可能です。また、複数の VDOM は、複数の物理インターフェースを束ねた LAG(Link Aggregation)インターフェースを共通で使用することが可能で…

Fortigate の HA 設定について

マスター選択プロセスについて HA のマスターは、以下に基づいて選定されます。 自動切り戻しが無効の場合(set override disable) モニタポートの接続(up)数が多いノード スレーブ側の age time(稼働時間)が設定値(デフォルト5分)より長い場合は現状…

Python で FortiGate のログを取得

Python2.7 で FortiGate のログを収集する際のスクリプト例です。 Automated FortiGate Backups を参考にさせて頂きました。 import re import sys import datetime, time import string from Exscript.util.interact import read_login from Exscript.proto…

FortiGate について

FortiGate について 米 Fortinet 社の開発した統合脅威管理(UTM)アプライアンスで、同分野では世界一のシェアを有する。 ファイアウォール、VPN、アンチウイルス、侵入防止システム、コンテンツフィルタリング、アンチスパム等の機能をゲートウェイ1台で処理…