Настройка режима NAT
Первоначальная настройка межсетевого экрана осуществляется инженерами Selectel:
- настройка статического маршрута по умолчанию;
- настройка агрегированых каналов для двух внешних интерфейсов, подключенных в разные коммутаторы для обеспечения надежности;
- настройка режима DHCP для локального интерфейса.
Настройка сетевых интерфейсов
Графический интерфейс
Для настройки интерфейсов перейдите на вкладку Network → Interfaces. Если необходимо сменить режим DHCP на ручной, выберите интерфейс lan, нажмите Edit.
Установите следующие значения:
- Role: LAN
- Addressing Mode: Manual
- IP/Network Mask: укажите локальную подсеть
- Interface Members: выберите необходимые порты
Консольный интерфейс
Для изменения через CLI введите:
config system interface
edit lan
set ip <IP> <MASK>
set role lan
end
Настройка статического маршрута
Графический интерфейс
Если вам необходимо добавить статический маршрут, перейдите в Networks → Static Routes.
Консольный интерфейс
Для изменения через CLI введите:
config router static
edit 1
set gateway <IP>
set distance 1
set device <INTERFACE>
end
Настройка DNS (необязательно)
Графический интерфейс
В качестве DNS-сервера по умолчанию используется DNS-сервер FortiGuard, что достаточно для большинства сетей.
Если нужно изменить DNS-сервер, перейдите в Networks → DNS, выберите Specify и добавьте Primary и Secondary серверы.
Консольный интерфейс
Для изменения через CLI введите:
config system dns
set primary <IP>
set secondary <IP>
end
Настройка политики
Графический интерфейс
Чтобы создать новую или отредактировать существующую политику, перейдите в Policy & Objects → Firewall Policy. В данном примере создана политика для доступа в интернет:
- Задайте имя политики.
- В качестве входящего интерфейса Incoming Interface выберите внутренний интерфейс, а в качестве исходящего Outgoing Interface – внешний.
- Определите IP-адреса источника Source и назначения Destination, нажав + и выбрав адрес из существующих или создав адрес во всплывающем окне — нажмите кнопку Create, или перейдите в поле Policy&Objects → Addresses → Create New. В данном примере выбран адресный объект all.
- Выберите Schedule и Services в соответствии с вашими требованиями.
- Убедитесь, что для Action установлено значение ACCEPT.
- Включите NAT и выберите Use Outgoing Interface Address.
- В разделе Logging Options включите логирование параметром Log Allowed Traffic и выберите нужный тип – Security Events или All Sessions.
- Убедитесь, что активирован параметр Enable this policy.
Консольный интерфейс
Для изменения через CLI введите:
config firewall policy
edit 1
set name "Internet Access"
set srcintf lan
set dstintf wan1
set srcaddr all
set dstaddr all
set action accept
set schedule always
set service ALL
set nat enable
next