Port forwarding sur un firewall Fortigate

Le port forwarding (ou redirection de port en français) est une technique utilisée en réseau pour permettre à des connexions externes (internet ou un autre réseau) d'accéder à des services situés sur un réseau privé, généralement derrière un routeur ou un pare-feu.

Comment ça fonctionne ?

Lorsqu'un appareil externe essaie d'accéder à un service (comme un serveur web, FTP, SSH, etc.) sur un réseau privé, il ne peut généralement pas atteindre directement l'appareil ciblé à cause du NAT (Network Address Translation). Le port forwarding permet de configurer le routeur ou le pare-feu pour qu’il redirige les paquets reçus sur un certain port public vers un port privé d’une machine interne.

Mise en œuvre

Dans cette architecture, nous avons un routeur(10.10.10.2/30) dans le LAN, sur lequel activer une connexion à distance SSH. Pour accéder au routeur via une console SSH, il faudra s'adresser au Firewall sur le même port.

Configurations sur le Routeur

!
hostname RTR_INFRA
!
no ip domain lookup
ip domain name bory_corporate.sn
!
!
username bory secret 5 $1$8uCW$eHhjeKiIbnDo0e/e3jLjJ/
!
!
interface Ethernet0/0
 ip address 10.10.10.2 255.255.255.252
 duplex auto
!
ip route 0.0.0.0 0.0.0.0 10.10.10.1
ip ssh version 2
!

line vty 0 4
 login local
 transport input ssh
!
!

Sur le Fortigate

Configurations IP

Tests de connectivité avec le routeur

Création de l'adresse virtuelle

Policy & Objects > Virtual IPs > Create New > Virtual IP

Après création

Il faut ensuite autoriser ce flux

Policy & Objects > Firewall Policy > Create New

Place au test

Depuis une machine du réseau WAN du Firewall

Après validation

La preuve sur le routeur

Une session TCP sur le port 22 est bien active, et elle provient de l'IP 192.168.10.40.

Sur le matching de la règle sur le firewall

Mission accomplie !!!