Настройка режима NAT

Первоначальная настройка межсетевого экрана осуществляется инженерами Selectel:

  • настройка статического маршрута по умолчанию;
  • настройка агрегированых каналов для двух внешних интерфейсов, подключенных в разные коммутаторы для обеспечения надежности;
  • настройка режима DHCP для локального интерфейса.

Настройка сетевых интерфейсов

Графический интерфейс

Для настройки интерфейсов перейдите на вкладку Network → Interfaces. Если необходимо сменить режим DHCP на ручной, выберите интерфейс lan, нажмите Edit.

Установите следующие значения:

  • Role: LAN
  • Addressing Mode: Manual
  • IP/Network Mask: укажите локальную подсеть
  • Interfaces Members: выберите необходимые порты

Консольный интерфейс

Для изменения через CLI введите:

config system interface
edit lan
set ip <IP> <MASK>
set role lan
end

Настройка статического маршрута

Графический интерфейс

Если вам необходимо добавить статический маршрут, перейдите в Networks → Static Routes.

Консольный интерфейс

Для изменения через CLI введите:

config router static
edit 1
set gateway <IP>
set distance 1
set device <INTERFACE>
end

Настройка DNS (необязательно)

Графический интерфейс

В качестве DNS-сервера по умолчанию используется DNS-сервер FortiGuard, что достаточно для большинства сетей. Если нужно изменить DNS-сервер, перейдите в Networks → DNS, выберите Specify и добавьте Primary и Secondary серверы.

Консольный интерфейс

Для изменения через CLI введите:

config system dns
set primary <IP>
set secondary <IP>
end

Настройка политики

Графический интерфейс

Чтобы создать новую или отредактировать существующую политику, перейдите в Policy & Objects → Firewall Policy. В данном примере создана политика для доступа в интернет:

  1. Задайте имя политики.
  2. В качестве входящего интерфейса Incoming Interface выберите внутренний интерфейс, а в качестве исходящего Outgoing Interface – внешний.
  3. Определите IP-адреса источника Source и назначения Destination, нажав + и выбрав адрес из существующих или создав адрес во всплывающем окне — нажмите кнопку Create, или перейдите в поле Policy&Objects → Addresses → Create New. В данном примере выбран адресный объект all.
  4. Выберите Schedule и Services в соответствии с вашими требованиями.
  5. Убедитесь, что для Action установлено значение ACCEPT.
  6. Включите NAT и выберете Use Outgoing Interface Address.
  7. В разделе Logging Options включите логирование параметром Log Allowed Traffic и выберите нужный тип – Security Events или All Sessions.
  8. Убедитесь, что активирован параметр Enable this policy.

Консольный интерфейс

Для изменения через CLI введите:

config firewall policy
    edit 1
        set name "Internet Access"
        set srcintf lan
        set dstintf wan1
        set srcaddr all
        set dstaddr all
        set action accept
        set schedule always
        set service ALL
        set nat enable
    next