Как разрешить входящий трафик FTP на FortiGate с помощью перенаправления портов

В этой статье я покажу вам, как разрешить входящий FTP-трафик на брандмауэре FortiGate, чтобы вы могли размещать FTP-сайты для внешнего мира. Мы будем использовать технику переадресации портов для достижения этой цели. Любые входящие FTP-запросы к внешнему (WAN) интерфейсу будут достигать FTP-сервера во внутренней сети. FortiGate — это известный аппаратный брандмауэр, который может защитить вашу домашнюю и офисную сеть от сетевых угроз. Мы можем настроить несколько политик брандмауэра и параметры фильтрации для защиты сети. Он также может работать как брандмауэр веб-приложений, если вы размещаете веб-сайты или FTP-сайты внутри компании, но хотите разрешить доступ внешним пользователям через Интернет.

Ранее мы опубликовали руководство по настройке FTP-сервера в Windows 10 / 8.1 и о том, как разрешить FTP-трафик в службе брандмауэра Windows. Если вы хотите разместить один и тот же FTP-сайт с ПК с Windows или сервера Windows 2012 R2 во внешней сети через брандмауэр FortiGate, то этот пост будет полезен.

Примечание. Хотя приведённые ниже снимки экрана были сделаны для версии FortiOS 5.x, они применимы для последних версий, таких как 6.x. Вы можете найти похожие варианты, но с немного другим экраном графического интерфейса.

Действия по разрешению переадресации портов FTP в FortiGate

1) Создайте виртуальный IP-адрес, который отображает внутренний и внешний IP-адрес с правильным номером порта TCP / UDP

Сначала проверьте WAN IP интерфейса, который подключён к Интернету. Если у вас есть статический общедоступный IP-адрес на интерфейсе WAN, запишите его.

оздайте виртуальный IP-адрес, который отображает

Если у вас нет статического IP- адреса на интерфейсе WAN, который изменяется динамически, вам следует использовать службу «динамический DNS», такую ​​как DynDNS, для сопоставления конкретного имени веб-адреса с IP-адресом. Вы можете ознакомиться с этим руководством по настройке DynDNS на Fortigate.

Перейдите к «Виртуальным IP-адресам» и создайте новый виртуальный IP-адрес.

Введите имя объекта, выберите правильный WAN-интерфейс, который будет принимать входящий FTP-трафик. Как было сказано ранее, если WAN IP является динамическим (не фиксированным), оставьте «Внешний IP-адрес / диапазон» равным 0.0.0.0, как показано ниже, в противном случае вам необходимо ввести статический IP-адрес в эти поля.

В следующем поле введите IP-адрес локального FTP-сервера, который будет принимать FTP-трафик через этот FortiGate Firewall.

Включите переадресацию портов и введите номер порта 21 в качестве порта TCP (который по умолчанию используется протоколом FTP). Щёлкните ОК, чтобы сохранить изменения.

Включите переадресацию портов и введите номер порта 21 в качестве порта

2) Создайте новую политику брандмауэра, чтобы разрешить входящий FTP-трафик

Выберите порт WAN как входящий порт и «всё» под адресом источника.

Выберите порт, к которому подключена сеть FTP-сервера, в основном это может быть внутренний порт или порт DMZ.

Адрес назначения должен быть виртуальным IP-адресом, который мы создали на шаге 1, установите расписание, если вы хотите ограничить доступ в течение определённого времени.

Служба может быть «Всё» или «FTP», поскольку мы устанавливаем номер порта FTP в виртуальном IP-адресе, выбор «Всё» не вызовет никаких проблем. Выберите Принять в действии.

Если у вас есть профили безопасности для ограничения и мониторинга трафика, вы можете применить их в области профилей безопасности. Не забудьте включить параметры ведения журнала, если вы хотите регистрировать и отслеживать разрешённый трафик.

С помощью указанной выше политики мы успешно настроили входящий

С помощью указанной выше политики мы успешно настроили входящий FTP-трафик на WAN-интерфейс с помощью метода переадресации портов Fortigate.

Две важные проверки

  1. Убедитесь, что служба FTP работает на порту 21 на сервере, потому что мы разрешили только этот номер порта. В любых особых случаях, если вы размещаете сайты FTP или SFTP на разных номерах портов, вам необходимо изменить виртуальный IP-адрес, чтобы он принимал определённый номер порта.
  2. Шлюзом FTP-сервера должен быть IP-адрес внутреннего интерфейса FortiGate. Например, если у вас есть несколько устройств и маршрутизаторов FortiGate в сети, IP-адрес шлюза FTP-сервера должен указывать на этот FortiGate, который принимает входящий трафик FTP. Потому что трафик будет возвращаться только через этот шлюз по умолчанию.
Ссылка на основную публикацию