Aaron Yang

環境為Fortigate 310B 

分vlan,共九個vlan10, vlan20, ..., vlan90.

port2作為wan連接到internet.

因工作上需要,開啟一個對外的入口,

使用NAT應該是最快能設定好的.

分為外對內與內對外兩方面(內對外使用的IP和外對內使用的IP可以不同,但習慣會設成一樣,比較好懂),

首先設定需要的位址物件,以下例子是定義一個叫AWSXXX的物件,具有IP52.196.XXX.XXX,且是從internet連接的,如下圖.

這個位址物件是等等設定外對內時,允許連接的來源位址. 藉由這種辦法,限定僅有特定來源可以連接到內部網路的特定主機.

額外還要設定另一個位址物件,為內部主機的內網IP,並說明是使用內部的vlan10連接到此FW.如下圖.

創建這個位址物件,才好定義內對外時的來源位址.

除此之外,還要定義一個VIP,用在設定外對內時的目的位址,將port2接到的資訊對應到內部的IP,如下圖

最後設定一組IP Pool用在內對外時,讓內部主機可以藉由此IP Pool NAT到外部.如下圖

外對內

從port2 internet進來,

再經由vlan10到VIP,

此時VIP就會導到內部IP的主機去了.

內對外

從內部IP的主機發到vlan10,

從動態IP Pool出去.(應該吧)

參考

自己手動.