FortiGate バーチャルIP への Ping を許可する方法

本記事について

本記事では、Fortinet 社のファイアウォール製品である FortiGate について、宛先NAT やポートフォワーディングで使用されるバーチャルIP への Ping 通信が FortiGate でどう扱われるのか、バーチャルIP に Ping 疎通させるためにはどう設定したら良いのかについて説明します。

動作確認環境

本記事の内容は以下の機器にて動作確認を行った結果に基づいて作成されています。

• FortiGate-60F
  • FortiOS 7.6.6

バーチャルIP への Ping に関する疑問

宛先NAT やポートフォワーディングを設定する際、目的のサービスだけを NAT 対象にするのではなく、単純な疎通確認の目的で Ping についても宛先NAT の対象にしたいという要件はよくあります。

FortiGate ではバーチャルIP を使用して宛先NAT やポートフォワーディングを実現しますが、バーチャルIPへのPingについては FortiGate でどう処理されるのか、という疑問が出るかもしれません。論点としては以下が考えられます。

• バーチャルIP への Ping について FortiGate が代理応答するのか
• Ping についても宛先NATして実IP を持つ機器に疎通させるためにはどのような設定が必要なのか

Ping に代理応答はせず、通常のトラフィックとして処理される

当方にて動作確認した結果、バーチャルIP への Ping に FortiGate が代理応答することはなく、バーチャルIP への Ping は通常のトラフィックと同様に扱われます。

つまりバーチャルIPへの Ping についても宛先NATして実IP を持つ機器に疎通させたい場合は以下の設定が必要です。

つまり、上記の設定を行わない場合、バーチャルIP への Ping は FortiGate で拒否されることになるため誰も応答しません。

バーチャルIP への ARP 要求については FortiGate が応答します。この動作はバーチャルIP のarp-reply設定がデフォルトで enable であることに基づきます。

設定例；ポートフォワーディング無効の場合

以下の図のように宛先NAT する FortiGate を挟んで Webサーバにアクセスる構成を考えます。

バーチャルIP は以下の通り設定されているとします。

ファイアウォールポリシーの設定で以下のようにサービスとして HTTP のみ含めた設定では、バーチャルIP への Ping 疎通はできません。

バーチャルIP への Ping 疎通をできるようにしたい場合は、以下のようにファイアウォールポリシーのサービスに Ping を含むサービスを含める必要があります。または Ping を許可する独立したファイアウォールポリシーを追加する必要があります。

Ping を許可するためには少なくとも ICMP type 8 をサービスに含める必要があります。「ALL_ICMP」は ICMP すべてを意味するサービスです。

設定例：ポートフォワーディング有効の場合

以下の図のようにポートフォワーディングする FortiGate を挟んで Webサーバにアクセスる構成を考えます。

バーチャルIP は以下の通り設定されているとします。

ファイアウォールポリシーの設定で以下のようにサービスとして HTTP のみ含めた設定では、バーチャルIP への Ping 疎通はできません。

ポートフォワーディングを使用している場合にバーチャルIP への Ping 疎通をできるようにしたい場合は、まず以下のようにプロトコルをICMPとしたバーチャルIP を作成します。

その後、この ICMP 用のバーチャルIP を宛先として ICMP を許可するファイアウォールポリシーを作成します。以下の例では、既存のポートフォワーディング用のポリシーに対して宛先に ICMP 用バーチャルIPを追加し、かつサービスに ICMP を追加しています。

以上の設定によりバーチャルIPへの Ping 疎通ができるようになります。

---