Fortigate 只接受特定外網IP
要設定,讓特定外網IP Ping Fortigate,在執行上比較麻煩,意思是你不能特別關閉PING,再讓PING端口開啟給一個指定IP。
求其次,你只能設置讓特定IP能訪問Fortigate Firewall,順便能PING。
一般來說,Interfaces裡的Restricted Access功能,大家都很熟悉,裡面能讓WAN開啟HTTPS,SSH,PING服務去做管理,而這個Restricted Access部份,是設計給”Administrator”使用的。意思是指 System>Administrators 裡面的Users。
所以,只要修改Administrators>admin,裡面Enable “Restrict login to trust hosts” ,並加入管理者的常用外網IP,就能讓Fortigate只接受特定IP訪問,包括HTTPS和PING。
但有種情況,我只想要某IP,只能PING,而不能做其他訪問,要如何做? 以下解說:
1. 在System>Admin Profiles 新增一個Admin設置,老外都喜歡叫no_logon,Access Control設成全部None。
2. 在System>Administrators 新增一個User,例如ping_only, Administrator Profile設成剛剛的no_logon。
3. 把剛剛新增的User的Restrict login to trusted hosts. 並設置指定外網IP。
4. 單是限制這個User並不足夠,「所有」其他Admin帳戶都要設置Restrict login to trusted hosts. 並設置成管理者常用的外網IP。
增加no_logon的Admin Profile,設置為「無權限」
為ping_only新增一個trust host
結論可想而見, ping_only的trusted hosts可以PING到該Fortigate Firewall,但不能登錄。 而admin帳戶的Trust hosts就可以Ping可以登錄。
後記,有些管理者需要常在外地工作,在任何地方都要Access Firewall,建議就要先有一個固定IP的VPN,撥號後再登錄Fortigate。
