FortiGateのバーチャルIPについて

バーチャルIPとは

FortiGateのバーチャルIP（Virtual IP, VIP）は、外部のグローバルIPアドレスと内部のプライベートIPアドレスを関連付ける仕組みです。

これにより、インターネット側から内部サーバーへアクセスできるようになります。VIPは宛先NAT（DNAT）の一形態であり、特に以下の用途で利用されます。

• Webサーバーやメールサーバーなどをインターネットへ公開
• DMZや内部ネットワーク上のサービスを外部から利用可能にする
• ポートフォワーディングによるリモートアクセスの実現

VIPの種類と使い分け

FortiGateでは目的に応じて複数のVIPタイプを選択できます。

• 静的NAT（Static NAT / Full VIP）
  外部IPと内部IPを1対1でマッピング。単一アドレスだけでなく、範囲（レンジ）を1:1対応で割り当てることも可能です。
• ポートフォワーディング（Port Forwarding）
  外部IPの特定ポートを内部IPの特定ポートに転送。
  例: 203.0.113.10:80 → 192.168.1.10:80
• レンジマッピング（Range Mapping）
  外部アドレス範囲と内部アドレス範囲を対応させる。
  例: 203.0.113.100-110 ⇔ 192.168.1.100-110
• VIPグループ（VIP Group）
  複数のVIPをまとめて管理する機能。ポリシーで一括指定したいときに便利。

注意: 1つの外部IP・同一ポートで複数の内部サーバーへ同時に振り分けることはVIPではできません。その場合はVirtual Server（ロードバランサ機能）を使います。

基本的な設定手順

1. VIPの作成
   • GUI: 「ポリシー＆オブジェクト > バーチャルIP > 新規作成」
   • タイプ（Static NAT / Port Forwarding）を選び、外部→内部の変換を定義
2. ファイアウォールポリシーに適用
   • 例: インターフェース「WAN → LAN」
   • 宛先アドレスに作成したVIPを指定
   • サービス（HTTP, HTTPS など）を設定
   • NATは原則オフ（有効化するとクライアントIPが隠れてしまうため）
3. 動作確認
   • 外部からアクセスし、応答が返るか確認
   • セッションテーブルやログでNAT変換を確認

運用時の注意点とベストプラクティス

• セキュリティポリシーが必須：VIPだけでは通信は通りません。必ずWAN→LANポリシーで許可。
• 最小限の公開ポート：不要なサービスは開放しない。ポリシーのサービス指定で制限可能。
• IPS/DoSと併用：公開サーバーは攻撃対象になりやすいため、IPSやDoS保護を組み合わせる。
• ヘアピンNAT（NATループバック）の考慮：内部から公開FQDNでアクセスさせる場合は、VIPをanyまたは適切なIFで作成し、内部→内部ポリシーでVIPを宛先に設定。
• インターフェース設定に注意：VIPの「外部インターフェース（extintf）」とポリシーの受信IFが一致しないと、宛先にVIPが選択肢として表示されません。

実用例：Webサーバー公開

• 外部IP: 203.0.113.10
• 内部IP: 192.168.1.10
• 公開ポート: TCP/80, TCP/443

VIP設定

• 203.0.113.10:80 → 192.168.1.10:80
• 203.0.113.10:443 → 192.168.1.10:443

ポリシー設定

• インターフェース: WAN → LAN
• 宛先: 上記VIP
• サービス: HTTP, HTTPS
• アクション: ACCEPT（NAT無効）

まとめ

FortiGateのVIPは、外部から内部へのアクセスを可能にする宛先NAT機能です。

正しく設定すれば、セキュアにサーバー公開ができますが、以下の3点が特に重要です。

1. VIP作成だけでは通信できない。必ずWAN→LANポリシーに宛先として設定。
2. 受信ポリシーのNATは原則オフ。有効化すると送信元IPが消える。
3. 複数サーバー分散はVIPではなくVirtual Serverを利用。

これらを押さえることで、安定かつ安全なサーバー公開が可能になります。

以上、FortiGateのバーチャルIPについてでした。

最後までお読みいただき、ありがとうございました。