Port forwarding sur Fortigate

  29 Oct 2015    Publié par Francis Bonnamour   11 Comments

Sommaire [-]
 I. Présentation
 II. Autres produits
 III. Infrastructure
 IV. Configuration du serveur
 V. Conclusion

I. Présentation
Comme ceci est un premier article sur la gamme de produits Fortigate, je vais vous parler un peu
du produit. Le Fortigate (de la compagnie Fortinet) est un UTM (Unified Threat Management) ou
en français, Gestion unifiée des menaces.

Mais c’est quoi ça? Ok, alors je vais être plus précis, un UTM rassemble dans un boitier
(Appliance) ou une machine virtuelle plusieurs fonctions reliées à la sécurité. Avec en général les
fonctions suivantes :

- Pare-feu (Firewall)
- Filtrage antipourriel (antispam)
- Antivirus
- Système de détection ou de prévention d'intrusion (IDS ou IPS)
- Filtrage de contenu applicatif (filtrage URL)
- VPN (SSL ou IPSEC)

Il existe plusieurs compagnies qui fabriquent des UTM et c’est très populaire, surtout auprès des
petites et moyennes entreprises.

La compagne Fortinet est classée parmi les leaders de l’industrie depuis plusieurs années
consécutives par Gartner dans la catégorie UTM.
II. Autres produits
Hormis les Fortigate que la compagnie construit, Fortinet possède aussi d’autres produits. Les
plus populaires sont bien le Fortigate, mais aussi le FortiMail qui est l'antispam et le Fortimanager
qui permet de gérer nos équipements. À noter aussi qu'il existe un client gratuit, le Forticlient qui
nous sert de client VPN, firewall et antivirus.

Il est à noter que tous les Fortigate utilisent le même système d’exploitation (FortiOS) mais seul
le CPU, la mémoire ou l’espace disque changent.

Le prix du produit commence à environ 338 $ US pour un Fortigate 30 D à plus de 100 000 $US
pour les modèles très haut de gamme (Fortigate 5101C). Le prix varie aussi selon le temps de
support, etc.

L’achat d’un Fortigate se fait à travers un revendeur que l’on peut trouver sur cette page : ici

III. Infrastructure
Aujourd'hui je voudrais vous présenter la façon de faire une redirection de port (ou port following)
afin de permet la publication d’un serveur (WEB, d'email, FTP, etc..) derrière un Fortigate.
Dans cette présentation, je vais faire la publication d'un serveur d'email (port 25) afin de recevoir
des emails de l'extérieur.
Attention l’adresse IP 175.20.20.15 est fictive.

IV. Configuration du serveur

Pour faire ceci, il bien sûr se connecter sur notre Fortigate via l’interface web de gestion.
La première étape va être de déclarer l’adresse IP de notre serveur interne (serveur d’email)

Sur le Fortigate, aller dans l’onglet Firewall objets et création d’une IP virtuelle :
Cliquez sur "Create new"

Puis nous donnons l’adresse IP publique redirigée vers le serveur d’email avec le port externe et
le port vers l’interne (dans ce cas, le port 25 externe vers le port 25 vers l’interne)

Le nom de notre nouvelle adresse IP virtuelle va nous servir à la création de la règle de pare-feu.

Ce qui nous donne ceci comme résultat :

Une fois l’adresse IP virtuelle créée, la seconde étape va être de créer une règle de pare-feu
(firewall) pour autoriser le trafic.

Pour ceci, allez dans la partie de droite, policy – règles et création d’une nouvelle règle.
Comme la règle ne concerne pas les VPN, nous choisissons Pare-feu

C’est une règle d’adresse IP seulement, il n’y a pas d’identification, nous choisissons "Adresse".
La règle permet la communication de l’extérieur, donc nous choisissons le port relié
à Internet (port WAN1 dans notre cas)

Vers le port ou est relier notre serveur d’email (dans notre cas le port 2) avec comme adresse de
destination, le nom de notre adresse IP virtuelle

- Le service concerné (SMTP pour les emails entrant).

- Et bien sûr autoriser le trafic (accept) puisque c’est l’action désirée.

- Surtout ne pas activer le NAT.

Le reste de la configuration est l’activation des Logs (si désiré) et l’activation de l’antivirus et de
l’antispam. Mais ses options seront vu dans un prochain article.

V. Conclusion
Voilà notre serveur d’email est publié sur Internet et prêt à recevoir ses premiers courriels. Il ne
vous reste plus qu’à tester le tout par l’envoi d’un email de l’extérieur vers notre serveur interne.
En cas d’erreur, il faudra aller voir les logs, mais cela fera partie d’un autre tutoriel.