fortinet

Fortigate入門 その1初期化とLANポート分割

先日、firewallとしては有名なFortinet社のFortigate 30Dを入手しました。

fortigate 30D

色々いじってみる前に、大事なところはしっかりと残しておきたいと思います。

入手時のファームウェア:FGT 30D -5.00-build292

初期化(ファクトリーリセット)

工場の出荷時にもどすにはexecute factoryreset を使います

コンソールにログインした状態で、

FGT30D # 
FGT30D # execute factoryreset 
This operation will reset the system to factory default!
Do you want to continue? (y/n)y

少しすると、通信が切れて、再起動が始まります。

fortigateは初期設定がIPアドレス 192.168.1.99となっていますので、

作業用端末で接続できるようになります。

LANポートの論理分割

一番ハマったポイントはここでした。

30DはWANポート1つとLANポート4つあります。

このLANポートは論理的に同一グループを組まれています。

てっきり、各ポートに別々の設定ができると思い込んでいました。

しかし、あらかじめグループを組まれてはいますが、設定で解除することができます。

まず準備段階としてLANポートが使われていないことが条件です。

  • LANポート以外からWeb管理画面に入る
  • DHCPサーバを無効化する(GUIからできます)
  • セキュリティポリシーの割り当ての解除

LANポートを分割するために、LANポート以外から管理画面に入る必要があります。

自分の場合はWANポートに適当なIPアドレスを割り当て、管理アクセスとして

HTTP(S)を有効化しました。

DHCPサーバー機能とポリシーの解除は、

config system dhcp server
    delete 1
end
config firewall policy
    delete 1
end

その後、

config system global
    set internal-switch-mode interface
end

これで分割できます。

なお、新しいファームウェアではこのコマンドではなく、

config system virtual-switch
    delete internal
end

コチラのコマンドを使用します。