FortiGate でポリシールートを設定する手順(v6.2.4)

ファイアウォール(UTM)

ポリシールートとは

  • ルーティングテーブルを使用する場合とは異なる方法で特定の種類のネットワークトラフィックをルーティングする必要がある場合に使用します
  • 着信トラフィックの以下の情報を使用してトラフィックの送信先を決定します
    • 着信インターフェイス
    • 送信元アドレス
    • 宛先アドレス
    • プロトコル
    • ポート番号
  • パケットが到着すると、FortiGate はポリシールートリストの先頭から順にパケットをポリシーと照合しようとします
  • ポリシールートリストに一致するものが見つからない場合、FortiGate はルーティングテーブルを使用してルート検索を行います

作業環境

  • 型番:FortiGate 60E
  • ファームウェアバージョン:v6.2.4

ポリシールートの追加手順

GUI で設定する場合

まずポリシールートの設定項目を表示させます。

GUI で [システム] → [表示機能設定] を選択します。表示機能設定画面で、[高度なルーティング] を有効化して [適用] をクリックします。

続いて、[ネットワーク] → [ポリシールート] を選択し、さらに [新規作成] をクリックします。

新規ポリシールーティング作成画面になります。各項目を設定します。

  • 着信インターフェース
    • 対象トラフィックの着信インターフェースを指定します
  • 送信元アドレス
    • 対象トラフィックの送信元アドレスを入力するか、またはアドレスオブジェクトから選択します
  • 宛先アドレス
    • 対象トラフィックの宛先アドレスを入力するか、またはアドレスオブジェクトから選択します
  • プロトコル
    • 対象トラフィックのプロトコルを指定します
  • サービスタイプ
    • 対象トラフィックのサービスを指定します
  • アクション
    • [トラフィックを転送] を選択します
  • Outgoing interface
    • 送出インターフェースを指定する場合は有効化してインターフェースを指定します
  • Gateway address
    • ゲートウェイアドレス(ネクストホップアドレス)を指定します
  • ステータス
    • [有効化済み] を選択します

設定ができたら [OK] をクリックします。

ポリシールート画面にて、ポリシールートが追加されたことを確認します。

以上です。

CLI で設定する場合

ポリシールートに該当するコンフィグ項目は config router policy です。

上の GUI での設定例と同じ設定をした場合、以下のコンフィグとなります。

FW01 # show router policy
config router policy
    edit 1
        set input-device "internal1"
        set srcaddr "10.1.10.5/32"
        set dstaddr "all"
        set gateway 192.168.139.1
    next
end

FW01 # show full-configuration router policy
config router policy
    edit 1
        set input-device "internal1"
        set input-device-negate disable
        set srcaddr "10.1.10.5/32"
        set src-negate disable
        set dstaddr "all"
        set dst-negate disable
        set action permit
        set protocol 0
        set gateway 192.168.139.1
        set output-device ''
        set tos 0x00
        set tos-mask 0x00
        set status enable
        set comments ''
    next
end

各設定項目のヘルプは以下の通りです。

FW01 (1) # set
input-device               Incoming interface name.
input-device-negate        Enable/disable negation of input device match.
src                        Source IP and mask (x.x.x.x/x).
srcaddr                    Source address name.
src-negate                 Enable/disable negating source address match.
dst                        Destination IP and mask (x.x.x.x/x).
dstaddr                    Destination address name.
dst-negate                 Enable/disable negating destination address match.
action                     Action of the policy route.
protocol                   Protocol number (0 - 255).
gateway                    IP address of the gateway.
output-device              Outgoing interface name.
tos                        Type of service bit pattern.
tos-mask                   Type of service evaluated bits.
status                     Enable/disable this policy route.
comments                   Optional comments.
internet-service-id        Destination Internet Service ID.
internet-service-custom    Custom Destination Internet Service name.

ポリシールートの順番の変更

ポリシールートはリストの上から順に照合され、一番最初に適合したポリシーに基づいてルーティングされます。この照合順を変更する方法を記載します。

GUI で設定する場合

GUI でポリシールートの画面を表示します。表示されるリストの中の、[項番#] の部分にマウスポインタを持っていくと、当該ポリシーをドラッグして移動することができます。対象ポリシーを移動したい箇所までドラッグすることで順番を変更できます。

CLI で設定をする場合

CLI で設定する場合は config router policy 階層で以下のコマンドを実行します。

  • move <移動対象ポリシーの ID> <after | before> <基準ポリシーの ID>
    • ポリシーの ID:コンフィグでの edit 番号のこと
    • after:基準ポリシーの後に対象ポリシーを移動させます
    • before:基準ポリシーの前に対象ポリシーを移動させます

例えば、ポリシー ID が 3 のポリシーを、ポリシー ID が 1 のポリシーの後に移動させる場合は、以下のコマンドを実行します。

config router policy
    move 3 after 1
end

参考資料

Policy routes | Cookbook

―――――――――――――

タイトルとURLをコピーしました