เคยเจอปัญหานี้ไหมครับ? เรามี Web Server, กล้องวงจรปิด (CCTV) หรือ Remote Desktop (RDP) ที่ทำงานได้ดีเยี่ยมอยู่บนเครือข่ายภายใน แต่พอจะให้คนจากข้างนอก (Internet) เข้ามาใช้งาน กลับทำไม่ได้ นั่นเพราะโดยปกติแล้ว Firewall จะบล็อกการเชื่อมต่อจากภายนอกทั้งหมดเพื่อความปลอดภัยครับ บทความนี้ NONGIT จะมาสอน วิธี forward port fortigate ซึ่งเป็นเทคนิคสำคัญที่ช่วยให้เราสามารถเปิดช่องทางให้ Service ที่จำเป็นเข้าถึงได้จากอินเทอร์เน็ตอย่างปลอดภัย โดยใช้ฟีเจอร์ที่เรียกว่า Virtual IP (VIP) ครับ
Virtual IP (VIP) คืออะไร? ทำไมต้องใช้เพื่อ Forward Port บน FortiGate?
ก่อนจะไปดูขั้นตอนการตั้งค่า เรามาทำความรู้จักกับพระเอกของงานนี้กันก่อนครับ
Virtual IP (VIP) คือ Object บน FortiGate ที่ทำหน้าที่เหมือน “ตัวแปลงที่อยู่” ครับ มันจะรับการจราจร (Traffic) ที่วิ่งเข้ามายัง Public IP (IP ขา WAN) ของเราที่ Port ที่กำหนด แล้วส่งต่อ (Forward) ไปยัง Private IP (IP ของ Server ภายใน) และ Port ที่เราต้องการ เหมือนมีพนักงานต้อนรับคอยบอกว่า “อ้อ! คุณลูกค้าที่มาติดต่อที่ประตูหมายเลข 80 ใช่ไหมครับ? เชิญต่อไปที่ห้อง Server ห้อง 192.168.1.100 ที่ประตู 8080 ได้เลยครับ”
การใช้ VIP เพื่อทำ Port Forwarding นั้นดีกว่าการเปิดให้เข้าถึงโดยตรง เพราะเราสามารถควบคุมได้ทั้งหมดผ่าน Firewall Policy ทำให้สามารถระบุได้ว่าจะให้ใครเข้ามาได้บ้าง, ใช้ Service อะไรได้บ้าง ซึ่งปลอดภัยกว่ามากครับ
การตั้งค่า Virtual ip เพื่อทำ Forward port ใน FortiGate
สำหรับตัวอย่างนี้จะกำหนดให้ Wan เชื่อมต่อ Port 8001 ไปที่ IP 192.168.0.201 ซึ่งจะเป็นเฟิร์มแวร์ 6.0 ซึ่งก็สามารถนำไปปรับใช้งานร่วมกับ v.7 ได้
1. Login เข้าเว็บ Admin ผู้ดูแลระบบ FortiGate
2. ที่หน้าต่าง Admin ให้เลือก Policy & Objects > เลือก Virtual IPs
3. คลิกปุ่ม Create New และเลือก Virtual IP
4. กำหนดค่า Network ตามที่ต้องการ
- Name กำหนดชื่อ
- Interface เลือก Wan ที่ต้องการให้เชื่อมต่อเข้ามา
- Map to IPv4 address/range ระบุไอพีอุปกรณ์ภายใน
5. ใช้เม้าส์คลิกเลือก Port Forwarding และกำหนดค่า
- Protocol เลือก TCP
- External service port ระบุ port ภายนอกที่ต้องการ
- Map to IPv4 port ระบุ port ภายในที่ต้องการ
6. คลิกปุ่ม OK
7. เมื่อกำหนด Virtual ip เสร็จแล้ว ก็จะต้องสร้าง Policy โดยเปิดไปที่ Policy & Objects > เลือก Firewall Policy และคลิก Create New
8. กำหนดค่าสำหรับ Policy
- Name กำหนดชื่อ
- Incoming Interface เลือก wan ที่จะเชื่อมต่อเข้ามาจากภายนอก
- Outgoing Interface เลือก lan ภายในที่อุปกรณ์เชื่อมต่อ
- Source ระบุ network ต้นทางที่จะเชื่อมต่อมาจากภายนอก
- Destination เลือก Virtual ipที่ได้สร้างไว้
- Service เลือก All
9. เลือก Off NAT ภายใต้ Firewall/Network Options
10. เลือก Enable this policy และคลิกปุ่ม OK
เท่านี้ก็เรียบร้อยแล้ว ทดสอบว่า port ที่ต้องการ Forward port ว่าใช้งานได้ไหม ตรวจสอบโดยเข้าเว็บ canyouseeme.org
สรุป
การทำ Forward Port บน FortiGate ด้วย Virtual IP (VIP) เป็นวิธีมาตรฐานและปลอดภัยในการเปิดให้ Service ภายในสามารถเข้าถึงได้จากอินเทอร์เน็ต หัวใจสำคัญมีเพียง 2 ขั้นตอนคือ: 1. สร้าง VIP เพื่อจับคู่ IP และ Port ภายนอกกับภายใน และ 2. สร้าง Firewall Policy เพื่ออนุญาตให้ Traffic วิ่งผ่าน VIP นั้นได้ การทำความเข้าใจสองส่วนนี้จะช่วยให้คุณสามารถประยุกต์ใช้กับการตั้งค่าต่างๆ ได้อีกมากมาย ไม่ว่าจะเป็นการเปิด Port ให้กล้องวงจรปิด (CCTV), Remote Desktop (RDP), หรือ Application อื่นๆ ได้อย่างมั่นใจและปลอดภัยครับ
สำหรับผู้ที่ต้องการศึกษาข้อมูลเชิงลึกเพิ่มเติมเกี่ยวกับการตั้งค่า VIP สามารถอ่านได้จากเอกสารอย่างเป็นทางการของ Fortinet ที่ Fortinet Cookbook
FAQ (คำถามที่พบบ่อย)
-
สามารถ Forward Port เป็นช่วง (Port Range) ได้หรือไม่?
ได้ครับ ในหน้าจอการตั้งค่า VIP ตรงส่วนของ External Service Port และ Map to Port คุณสามารถใส่เป็นช่วงได้เลย เช่น
10000-10010เพื่อ Map ไปยัง10000-10010ครับ -
ถ้าต้องการ Forward Port เดียวกันเป๊ะๆ (เช่น 3389 ไป 3389) ต้องทำอย่างไร?
ทำได้เลยครับ แค่ใส่เลข Port เดียวกันทั้งในช่อง External Service Port และ Map to Port เช่น
3389ทั้งสองช่อง ก็จะเป็นการทำforward port fortigateสำหรับ RDP แบบ 1:1 ครับ -
การทำ Port Forwarding แบบนี้ปลอดภัยหรือไม่?
ความปลอดภัยขึ้นอยู่กับ Service ที่คุณเปิดครับ การ Port Forward เป็นเพียงการเปิดช่องทาง แต่ตัว Service เอง (เช่น Web Server, RDP) ต้องมีการตั้งค่าความปลอดภัยที่ดี เช่น ตั้งรหัสผ่านที่คาดเดายาก, อัปเดตแพตช์สม่ำเสมอ และใน Firewall Policy ควรจำกัด Source IP ให้แคบที่สุดเท่าที่จะทำได้ ไม่ควรเปิดเป็น
allหากไม่จำเป็นครับ
