Fortigate 60E 域名指向區網NAS的設定問題

fortigate nas dns紀錄

pinwayne 2022-03-20 00:09:37 ‧ 2477 瀏覽

分享至

之前有詢問到各位專業大大
為了更安全，我把namecheap的域名如ns.abc.com讓cloudflare代管
在cloudflare的DNS設定中做了以下紀錄
A @ 11.22.33.44
A NAS 11.22.33.44
A www 11.22.33.44

在Fortigate 60E中
位址物件新增一個NAS_FQDN
nas.abc.com 介面 wan1

再新增IPv4政策
wan1->internal
來源：NAS_FQDN
目的：11.22.33.44 portxxx -> 192.168.xx.xx portxxx(NAS區網IP位址）
服務：ALL

問題一：目前設定好，不確定是否要等DNS A記錄生效才可以正常連線，還是我設定方向錯誤呢？
問題二：因為透過cloudflare代管，這樣可以確實保護我的固i，那我要如何再Firewall這邊拒絕外部用IP進入呢？我初步想法是把wan1的Https關掉，關掉後確實無法透過IP位址進入Firewall，但不確定是否也會把從域名進來的也拒絕？

看更多先前的討論...收起先前的討論...

mathewkl iT邦高手 1 級 ‧ 2022-03-20 10:35:36 檢舉

你先disable政策，先不論通不通，服務開ALL跟大門敞開任人try一樣。

pinwayne iT邦新手 5 級 ‧ 2022-03-20 21:17:10 檢舉

了解，只是不確定有沒有開對，測試時先用ALL，等測通就會做限制
請問如果先disable的話也能測試是否有通嗎

窮嘶發發發 iT邦高手 1 級 ‧ 2022-03-21 10:03:23 檢舉

NAS不該對外吧，外面要用要先VPN吧，透過VPN會稍微安全一點
既然VPN了，內部DNS寫好NAS的FQDN就好，甘60E什麼事

不明

【＊＊此則訊息已被站方移除＊＊】

pinwayne iT邦新手 5 級 ‧ 2022-03-22 07:20:43 檢舉

請教大大您指的內部DNS是在NAS的DNS上面直接寫A記錄嗎？

窮嘶發發發 iT邦高手 1 級 ‧ 2022-03-22 09:02:52 檢舉

內部用的DNS 服務，難道你們內部沒有DNS 主機嘛
不然你們所有機器的FQDN是記錄在哪裡，那不該是自動跟DNS主機註冊之後就能用的嘛，別跟我說你們工作站的DNS指向都是什麼 8.8.8.8 或是 1.1.1.1 這樣的設定

pinwayne iT邦新手 5 級 ‧ 2022-03-22 22:01:54 檢舉

大大真的是見笑了...我們的配置是防火牆下面就是工作站及NAS
所以大部分工作站IPv4都是DHCP自動派發，DNS也是自動
防火牆端的DNS設定也是Fortigate內建的

由於我們是一間老公司，才剛從紙本作業慢慢要轉到電腦，很多邊學邊規劃這樣
因為一套系統接觸到了NAS跟防火牆，才開始延伸越來越多應用的想法

目前是希望從內或從外都可以連回NAS，之後或許會因為安全性問題而關閉
但現在卡住覺得很想解決他...
很納悶為什麼明明從固IP已經可以連通了，但是域名卻不行

以及您提到的內部DNS服務讓我想到NAS本身也有DNS Server的套件
是不是也能加以應用

obarisk iT邦研究生 1 級 ‧ 2022-03-23 09:28:28 檢舉

NAS開到公網還真是...就算限制只有來自某個 Source IP 的流量其實也沒有什麼特別的功用。不如建個 VPN 或是用公有雲的服務

窮嘶發發發 iT邦高手 1 級 ‧ 2022-03-23 11:47:54 檢舉

DNS HOSTING 服務有分內外使用，主要就是內部的紀錄都是私人IP，而外部是公眾IP，基本上如果一年沒有百萬以上的資安預算，個人都不建議服務直接對外，或是在路由器分享器開PORT給服務穿透，太不安全了，NAS很方便，等你NAS被綁架你就知道痛了，如果你的備援策略不夠好，你會非常非常的痛，甚至要有離職下台的準備，上個世代講DMZ，但證實DMZ的風險很大，現在講VPN，風險小一點，但也是有，回歸主題，內部架好DNS 服務，讓內部所有的機器都能登錄，50人的企業，最好跟AD綁再一起，NAS也可以透過LDAP跟AD做帳號整合，接著DHCP也要跟AD綁再一起，然後MAC綁定IP，取消DHCP POOL 或是做 TRAP POOL，然後把這個POOL內的PC 全部鎖死不能上內外網路，外面走VPN進來使用內部服務，例如 NAS，VPN SERVER也要跟AD做帳號整合，這些都是基本的操作，建議樓主好好規劃一下

pinwayne iT邦新手 5 級 ‧ 2022-03-23 16:46:00 檢舉

感謝@窮嘶發發發大大專業且完整的建議
目前會朝內部DNS的方式來做架構，再努力研究一下!

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

3 個回答

by2048

iT邦高手 1 級 ‧ 2022-03-21 09:26:41

最佳解答

問題一：A記錄,可以透過本機的 hosts設定 11.22.33.44 nas.abc.com馬上就升效
問題二：建議政策物件中先設虛擬IP 讓nas在ip環境下升效外對內ip 外對內port
服務限制在nas的用途上,設通之後再依原本的FQDN規劃調整設定

回應 2
分享
檢舉

pinwayne iT邦新手 5 級 ‧ 2022-03-21 11:50:33 檢舉

問題一: 您指的本機是像是NAS的DNS去設定A紀錄嗎?
問題二的部分我試試看
謝謝!

不明

【＊＊此則訊息已被站方移除＊＊】

登入發表回應

bluegrass

iT邦高手 1 級 ‧ 2022-03-20 21:07:17

域名讓cloudflare代管是代表"源IP"都會變成那個cloudflare的IP嗎 ?_?

回應 6
分享
檢舉

看更多先前的回應...收起先前的回應...

pinwayne iT邦新手 5 級 ‧ 2022-03-20 21:15:25 檢舉

Cloud flare有Proxy的功能，所以可以對我們固定IP多一層防護

bluegrass iT邦高手 1 級 ‧ 2022-03-20 21:22:45 檢舉

如果你確定的話, 你只要在FORTIGATE上

execute ping NAS_FQDN

就可以刷新FORTIGATE的A RECORD然後測試了.

拒絕外部用IP

在administrator那頁, 每個admin都有一個叫做Trust host的東西, 設定你要給連線的IP即可, 記得也要加上信任的LAN IP / subnet. 如果只有WAN可以登入而LAN內部反而不給, 就太奇怪了

pinwayne iT邦新手 5 級 ‧ 2022-03-20 21:56:28 檢舉

不好意思，請教要如何在Fortigate上ping測試呢？
Trust host的部分感謝分享，第一次點進去這裡..研究一下

bluegrass iT邦高手 1 級 ‧ 2022-03-20 23:08:33 檢舉

execute ping NAS_FQDN

這就是測試的指令....

你下載putty再ssh到FORTIGATE, 登入後就可以用了...

pinwayne iT邦新手 5 級 ‧ 2022-03-21 08:27:22 檢舉

謝謝bluegrass大的分享!
目前execute ping域名是通的了

不明

【＊＊此則訊息已被站方移除＊＊】

登入發表回應

obarisk

iT邦研究生 1 級 ‧ 2022-03-21 09:34:01

cloudflare 做 reverse proxy。
那表示至少要開 cloudflare -> 內部服務的防火牆（看那些服務要開）
然後其它外部連線全部拒絕。

回應 1
分享
檢舉

pinwayne iT邦新手 5 級 ‧ 2022-03-22 07:22:52 檢舉

我了解
不過至於怎麼開cloudflare這部分一直失敗
目前測試
假設都不限制，固定IP可以進來，輸入網址進不來
好奇怪

登入發表回應

我要發表回答

立即登入回答

參賽組數

1064 組

團體組數

40 組

累計文章數

22210 篇

完賽人數

600 人

15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js

IT邦幫忙