Q&A
端末xからインターフェースAへのルーティングが確立されているのに、管理アクセスができないとは矛盾していないでしょうか。また、前置きに対して「したいこと」が紐づいていないように見受けられます。もう少し質問内容を精査しないと適切な回答が得られない気がします。
###前提・実現したいこと
ルーティング機能が有効のファイアウォール機器を下記の設定にしています。
インターフェースA:管理アクセス有効、ネットワークAに接続
インターフェースB:管理アクセス無効、ネットワークBに接続
ネットワークBに所属する端末Xが、インターフェースAの持つIPアドレスに管理アクセスを試みる際、
端末X→インターフェースAへのルーティング自体は確立されています。
しかし、ファイアウォールのルーティングのゲートウェイが
ネットワークB側のNW機器のIPアドレスしか設定されておりません。
この今の状態で管理アクセスができない状況にあります。
「インターフェースAのIPアドレスが宛先の通信を受け取った際の応答パケットのみ、
インターフェースA側のゲートウェイ(新規IP)にルーティングする」
といったルーティング設定はできないものでしょうか。
###補足情報(言語/FW/ツール等のバージョンなど)
ファイアウォールはFortiGate v5.4です。
回答2件
0
「インターフェースB:管理アクセス無効」の意味を勘違いされていないでしょうか。
Firewall製品とはつまり、外部からの不要なアクセスをシャットアウトするためのものです。
そのようなものにこのような記述がある場合、普通は論理的にインターフェースBから入ってきた
接続での管理画面へのアクセスは無効とする、ということであり、インターフェースBのIPアドレス
宛の通信での管理アクセスを無効にするという話ではないはずです。
つまり上記の例では通信できないのが正常です。
回避手段としてはインターフェースB側でも管理アクセスを有効にする、端末XをネットワークA側に
接続する(NIC増設など)、VPN接続によりインターフェースBを飛び超えてネットワークA側から
接続する、ネットワークAに接続された端末を遠隔操作して接続する、などが考えられます。
投稿2016/12/27 09:08
総合スコア581
0
ベストアンサー
ネットワークAとBがFortigateのインターフェイスと同じネットワークなら、
ルーティングの設定は必要ないです。
単純にB→AのFirewallポリシーに、
管理通信に対する許可ルールがなく
通信が落とされていいるだけではないでしょうか
最終的にどういった内容がしたいのかが分からないですが、
ルーティングを非対称(行きと戻りが異なる)にすることは可能ですが、
Fortigateは、ステートフルFireWallなので、
非対称となる通信は、ステートの確認ができないので、
パケットが破棄されます。
ステートフルを解除する方法もありますが、
それならばステートフルFireWallのFOrigatreを使う必要がないかと
投稿2016/12/27 04:54
総合スコア79
お返事遅れてしまってすみません。本件解決しました。
原因はこの方が仰っている通り非対称のルーティングが発生していることでした。
質問文にある
>「インターフェースAのIPアドレスが宛先の通信を受け取った際の応答パケットのみ、
>インターフェースA側のゲートウェイ(新規IP)にルーティングする」
については考えないことにし、管理アクセス用I/Fをルーティングテーブルより行きと帰りの経路が対象になるようなI/Fを選択した所、うまくいきました。
あなたの回答
tips
プレビュー
