FortiGateのポートフォワーディングについて

ポートフォワーディングの基本概念

目的

ポートフォワーディング（Port Forwarding）は、外部ネットワークからの特定ポートへの通信を内部ネットワーク上のサーバへ転送する仕組みです。

例

• 外部IP 203.0.113.10 の TCP 443 宛ての通信を
• 内部サーバ 192.168.1.100 の TCP 443 に転送

利用シーン

• 社内Webサーバやメールサーバをインターネットから利用可能にしたい
• 外部からSSHやRDPで接続したい
• NAT環境下で特定サービスを公開する必要がある場合

FortiGateにおける実装方法

FortiGateでは仮想IP（VIP: Virtual IP）を利用してポートフォワーディングを実現します。

VIPは「外部IP＋ポート → 内部IP＋ポート」というDNAT（宛先NAT）の仕組みを提供します。

設定手順の流れ

1. VIPの作成
   • 外部インターフェース（例：wan1）と外部IPを指定
   • 転送先の内部IPとポートを設定
2. ポリシーの作成
   • 外部から内部へのトラフィックを許可するFirewallポリシーを作成
   • 宛先には作成したVIPを指定
   • Serviceで対象ポートを絞る
3. 確認
   • 外部から指定したグローバルIP・ポートにアクセスし、内部サーバに到達するかを検証

設定例

VIPの設定例

外部TCP 80 を内部Webサーバ（192.168.1.10:80）へ転送する場合

• Name: VIP_HTTP
• Interface: wan1
• External IP: 203.0.113.10
• Mapped IP: 192.168.1.10
• Port Forwarding: 有効
• External Port: 80
• Mapped Port: 80

Firewallポリシー

• Incoming Interface: wan1
• Outgoing Interface: lan
• Source: all（運用時は必要に応じて制限）
• Destination: VIP_HTTP
• Service: HTTP
• Action: Accept
• NAT: 無効（SNATは不要。VIPがDNATを行う）

CLI設定例

config firewall vip
    edit "VIP_HTTP"
        set extintf "wan1"
        set extip 203.0.113.10
        set mappedip "192.168.1.10"
        set portforward enable
        set extport 80
        set mappedport 80
    next
end

config firewall policy
    edit 1
        set name "WAN1_to_HTTP"
        set srcintf "wan1"
        set dstintf "lan"
        set srcaddr "all"          # 運用時は制限推奨
        set dstaddr "VIP_HTTP"
        set action accept
        set schedule "always"
        set service "HTTP"
        set nat disable            # 送信元NATは不要
        set logtraffic all         # ログを必ず有効化
    next
end

運用上の注意点とベストプラクティス

• SNATとDNATの違いを理解
  • VIP = DNAT（宛先NAT）
  • ポリシーのNAT = SNAT（送信元NAT）
  • 通常はSNAT無効でOK。ただし戻り経路の問題がある場合は例外的に有効化
• ポリシー順序
  • FortiGateは上から順に評価。VIP宛ポリシーは上位に配置する
• アクセス制御
  • Sourceをallではなく、業務拠点や特定IPに制限するのが望ましい
• ログと監視
  • ポリシーでログを有効化し、アクセス状況や不審な試行を可視化する
• 追加のセキュリティ
  • 公開サービスにはIPS/WAFの適用を検討
  • 管理ポートはLocal-inポリシーで制御
• NATループバック（ヘアピンNAT）
  • 社内から外部FQDNでサーバへアクセスする場合、追加のlan→lanポリシーや内部DNS調整が必要
• 1:1 NATとの使い分け
  • 1:1 NAT＝外部IPを内部ホストに丸ごと割当
  • ポートフォワード＝特定サービスのみ公開（推奨）

トラブルシュートのポイント

• セッション確認 diag sys session list | grep 192.168.1.10
• フローデバッグ diag debug reset diag debug enable diag debug flow filter daddr 192.168.1.10 diag debug flow trace start 10 → ポリシー適用やNAT動作を詳細確認可能

まとめ

• FortiGateでのポートフォワーディングは**VIP（Virtual IP）**を使ったDNATで実装する
• VIPで外部→内部のマッピングを行い、Firewallポリシーで許可する
• SNATとDNATを区別し、必要最小限の公開・制御を行う
• ログ監視・アクセス制御・VPN利用を組み合わせることでセキュリティを確保できる

以上、FortiGateのポートフォワーディングについてでした。

最後までお読みいただき、ありがとうございました。