Öppna portar i FortiGate-brandvägg – Steg för steg

Att öppna portar i FortiGate-brandvägg är en grundläggande uppgift när du konfigurerar tjänster på din VPS som ska nås utifrån. FortiGate använder ett policybaserat system där du explicit definierar vilken trafik som tillåts genom brandväggen. Denna guide visar dig hur du skapar IPv4-policies för att tillåta inkommande trafik på specifika portar, konfigurerar Virtual IP för port forwarding vps, och testar att dina ändringar fungerar korrekt. Oavsett om du behöver öppna portar för webbservrar, SSH, eller andra tjänster följer processen samma grundläggande steg i FortiGate-webbgränssnittet.

Förberedelser innan du börjar

Innan du börjar med fortigate konfiguration behöver du ha följande information tillgänglig:

  • Administratörsinloggning till FortiGate-webbgränssnittet
  • IP-adressen till din interna server/VPS som ska ta emot trafiken
  • Portnummer och protokoll (TCP/UDP) för tjänsten du vill exponera
  • FortiGates externa (WAN) IP-adress om du använder port forwarding

Se till att du har en säkerhetskopia av din nuvarande konfiguration innan du gör ändringar i brandvägg vps-inställningarna.

Steg-för-steg-instruktioner

  1. Steg 1: Logga in på FortiGate-webbgränssnittet

    Öppna din webbläsare och navigera till FortiGate-enhetens IP-adress. Ange dina administratörsuppgifter för att logga in. Standardadressen är vanligtvis https://192.168.1.99 men kan variera beroende på din konfiguration.

    Efter inloggning ser du FortiGates huvudinstrumentpanel. Kontrollera att du har administratörsbehörigheter genom att verifiera att du kan se menyn "Policy & Objects" i vänstermenyn.

  2. Steg 2: Navigera till Policy & Objects > IPv4 Policy

    I vänstermenyn, klicka på Policy & Objects och välj sedan IPv4 Policy från undermenyn. Här visas alla befintliga brandväggsregler som styr trafikflödet genom din FortiGate.

    Bekanta dig med befintliga policies för att förstå strukturen. Varje policy visar källa, destination, tjänst och åtgärd (ACCEPT/DENY).

  3. Steg 3: Skapa ny policy för inkommande trafik

    Klicka på knappen Create New längst upp till höger för att öppna dialogrutan för ny policy. Här konfigurerar du grundläggande inställningar:

    • Name: Ge policyn ett beskrivande namn, t.ex. "Allow_HTTP_to_WebServer"
    • Incoming Interface: Välj ditt WAN-interface (vanligtvis "wan1" eller "port1")
    • Outgoing Interface: Välj ditt LAN-interface där servern finns (t.ex. "internal" eller "port2")
    • Action: Sätt till ACCEPT

    Lämna dialogrutan öppen för nästa steg där du definierar källa och destination.

  4. Steg 4: Definiera källa, destination och tjänst/port

    Fortsätt i samma dialogruta och konfigurera trafikparametrarna:

    Source: För att tillåta trafik från internet, välj "all" eller skapa ett address-objekt för specifika IP-adresser om du vill begränsa åtkomsten.

    Destination: Här anger du antingen din interna servers IP-adress direkt, eller en Virtual IP om du använder NAT (se nästa steg). För direktåtkomst, skapa ett address-objekt med serverns interna IP.

    Service: Klicka på fältet och välj den tjänst du vill öppna:

    • För webbserver: välj "HTTP" (port 80) och/eller "HTTPS" (port 443)
    • För SSH: välj "SSH" (port 22)
    • För anpassade portar: klicka "Create New" och definiera protokoll (TCP/UDP) och portnummer

    Aktivera NAT om din server använder privata IP-adresser och behöver port forwarding (se nästa steg för detaljer).

  5. Steg 5: Aktivera NAT om nödvändigt (Virtual IP)

    Om din interna server har en privat IP-adress och du vill göra den tillgänglig via FortiGates publika IP, måste du konfigurera Virtual IP och NAT:

    Skapa Virtual IP:

    1. Gå till Policy & Objects > Virtual IPs
    2. Klicka Create New > Virtual IP
    3. Konfigurera:
      • Name: T.ex. "VIP_WebServer_HTTP"
      • External IP address/range: FortiGates publika IP
      • Mapped IP address/range: Din interna servers IP (t.ex. 192.168.1.100)
      • Port Forwarding: Aktivera och ange extern port och intern port (t.ex. 80 → 80)
    4. Klicka OK för att spara

    Gå sedan tillbaka till din IPv4 Policy (från steg 4) och välj den skapade Virtual IP som Destination istället för den interna IP-adressen. Aktivera NAT i policyn genom att sätta den till "Enable".

  6. Steg 6: Testa anslutningen med telnet eller online port checker

    Efter att du sparat policyn är det dags att verifiera att porten är öppen och tillgänglig utifrån:

    Från en extern dator med telnet:

    telnet DIN_PUBLIKA_IP PORTNUMMER

    Exempel för att testa port 80:

    telnet 203.0.113.45 80

    Om anslutningen lyckas ser du "Connected to..." vilket bekräftar att porten är öppen.

    Med online port checker: Använd verktyg som canyouseeme.org eller yougetsignal.com. Ange din publika IP och portnummer för att testa från internet.

    Kontrollera FortiGate-loggar: Gå till Log & Report > Forward Traffic för att se om trafiken tillåts genom din nya policy. Om du ser "ACCEPT" i loggen fungerar regeln korrekt.

Vanliga problem och felsökning

Om du inte kan nå din tjänst efter att ha öppnat portar i FortiGate, kontrollera följande:

  • Policy-ordning: FortiGate utvärderar policies uppifrån och ner. Om en tidigare DENY-regel matchar din trafik kommer den aldrig nå din ACCEPT-regel. Flytta din nya policy högre upp i listan genom att dra och släppa.
  • Interface-val: Verifiera att du valt rätt incoming interface (WAN) och outgoing interface (LAN). Felaktiga interface-val är den vanligaste orsaken till att policies inte fungerar.
  • Virtual IP-konfiguration: Om du använder port forwarding, kontrollera att Virtual IP:n har rätt extern och intern IP-adress, samt att port forwarding är aktiverat med korrekta portnummer.
  • Tjänsten körs inte: Öppna portar i FortiGate hjälper inte om tjänsten inte lyssnar på servern. Verifiera med netstat -tulpn | grep PORTNUMMER på din Linux-server att tjänsten faktiskt körs.
  • Lokal brandvägg på servern: Din VPS kan ha en egen brandvägg (iptables, firewalld, ufw) som också blockerar trafiken. Kontrollera och öppna portar även där om nödvändigt.
  • NAT inte aktiverat: Om du använder Virtual IP men glömt aktivera NAT i policyn kommer trafiken inte att routas korrekt till den interna servern.
  • Felaktigt protokoll: Kontrollera att du öppnat rätt protokoll (TCP vs UDP). Många tjänster använder TCP, men vissa som DNS och vissa spel använder UDP.

För mer avancerad felsökning kan du aktivera debug-läge i FortiGate CLI med diagnose debug flow för att se exakt hur paket hanteras genom brandväggen.

Säkerhetsrekommendationer

När du öppnar portar i din brandvägg vps exponerar du tjänster mot internet, vilket innebär säkerhetsrisker:

  • Begränsa källadresser: Istället för att tillåta "all" som källa, skapa address-objekt för specifika IP-adresser eller IP-ranges som behöver åtkomst.
  • Använd icke-standardportar: För tjänster som SSH, överväg att använda en annan port än 22 för att minska automatiserade attackförsök.
  • Aktivera IPS: FortiGates Intrusion Prevention System kan inspektera trafik och blockera kända attackmönster även på öppna portar.
  • Implementera rate limiting: Konfigurera DoS-policies för att begränsa antalet anslutningar per sekund till kritiska tjänster.
  • Regelbunden granskning: Granska dina IPv4 policies regelbundet och ta bort regler som inte längre behövs.
  • Använd HTTPS: För webbtjänster, se till att alltid använda HTTPS (port 443) istället för okrypterad HTTP när känslig data överförs.

Relaterade konfigurationer

Efter att ha öppnat portar i FortiGate kan du behöva konfigurera ytterligare tjänster på din VPS. Om du kör en webbserver kan du behöva konfigurera Apache Virtual Hosts på Ubuntu 20.04 eller konfigurera Apache Virtual Hosts på CentOS 7 för att hantera flera domäner. För att hantera din VPS-instans kan du behöva starta, stoppa eller starta om VPS från Launchpad-instrumentpanelen.

Was this article helpful?

mood_bad Dislike 0
mood Like 0
visibility Views: 16
Related articles: