当サイトはGoogle検索にまだ表示されないためBing検索をご利用ください> Membership

FortiGate MAC アドレスフィルタリング設定ガイド

目次

本記事について

本記事では、Fortinet 社のファイアウォール製品である FortiGate に関して、特定の送信元 MAC アドレスからの通信のみ許可する MAC アドレスフィルタリングを行う設定方法について説明します。

動作確認環境

本記事の内容は以下の機器にて動作確認を行った結果に基づいて作成されています。

  • FortiGate-60F
    • バージョン 7.4.3

FortiGate における MAC アドレスフィルタリング

FortiGate にて MAC アドレスフィルタリングを実現するためには、MAC アドレスタイプのアドレスオブジェクトを作成し、それをファイアウォールポリシーの送信元アドレスとして設定します。

以下でその設定方法について説明します。

想定シナリオ

以下図のように、FortiGate の internal1 の先に複数の端末が存在します。FortiGate にて、以下の MAC アドレスの端末についてだけ外部ネットワークへの通信を許可することにします。

  • 許可する MAC アドレス:
    • 00:E0:4C:27:FF:4A
    • 00:E0:4C:27:FF:4B
    • 00:E0:4C:27:FF:4C

MAC アドレスタイプのアドレスオブジェクトの設定

まず MAC アドレスタイプのアドレスオブジェクトを作成します。

STEP
アドレス新規作成画面の表示

GUI 左側メニューから「ポリシー&オブジェクト > アドレス」画面を開き、「新規作成」をクリックします。

STEP
アドレスオブジェクトの設定

アドレス設定画面で各項目を設定します。

  • 名前」には分かりやすいアドレス名を入力します
  • インターフェース」には対象 MAC アドレスの端末が接続するインターフェースを指定します
  • タイプ」では「デバイス(MACアドレス)」を指定します
  • MACアドレス」欄には対象の MAC アドレスを入力します
    • MAC アドレスは2桁ごとに「:」で区切った形式で入力します
    • 大文字と小文字は区別されないためどちらでも大丈夫です
    • []をクリックすると枠を増やせます。複数の MAC アドレスを指定することが可能です

以上の設定ができたら「OK」をクリックします。

STEP
設定確認

アドレス画面で設定したアドレスが追加されていることを確認します。

以上でアドレスオブジェクトの設定は完了です。

CLI で MAC アドレスタイプのアドレスオブジェクトを設定する場合は以下のようなコンフィグになります。

config firewall address
    edit "MAC_internal"
        set uuid 4a7dbe8c-0e11-51ef-13c5-aced57b6c458
        set type mac
        set associated-interface "internal1"
        set macaddr "00:E0:4C:27:FF:4A" "00:E0:4C:27:FF:4B" "00:E0:4C:27:FF:4C"
    next
end

一つのアドレスオブジェクト内で複数の MAC アドレスを指定する場合は上記コンフィグ例のようにset macaddrの値として半角スペース区切りで複数の MAC アドレスを指定します。
uuidは自動設定される項目のため、新規アドレス作成時は手動設定しないでください

ファイアウォールポリシーの設定

特定の MAC アドレスからの通信のみ許可するファイアウォールポリシーの設定を行います。

STEP
ファイアウォールポリシー新規作成画面の表示

GUI 左側メニューから「ポリシー&オブジェクト > ファイアウォールポリシー」画面を開き、「新規作成」をクリックします。

STEP
ファイアウォールポリシーの設定

ファイアウォールポリシーを設定します。ポイントは送信元アドレスにあらかじめ作成しておいた MAC アドレスタイプのアドレスオブジェクトを指定することです。

その他の項目は通常のファイアウォールポリシーを設定する場合と同様に設定します。

STEP
設定の確認

ファイアウォールポリシー画面にて設定したポリシーが追加されていることを確認します。

以上でファイアウォールポリシーの設定は完了です。

本記事で設定したファイアウォールポリシーの CLI コンフィグは以下の通りです。

config firewall policy
    edit 2
        set name "intarnal1_to_wan1_mac"
        set uuid 08aafcce-0e14-51ef-8d5d-9e8c2f34a2e5
        set srcintf "internal1"
        set dstintf "wan1"
        set action accept
        set srcaddr "MAC_internal"
        set dstaddr "all"
        set schedule "always"
        set service "ALL"
        set nat enable
    next
end

以上で MAC アドレスフィルタリングを実現する設定は完了です。

通信確認とログ確認

実際に通信を行い、許可された MAC アドレスの端末のみ通信が許可されることを確認します。

以下は通信試行後のトラフィックログです。許可された MAC アドレスの 00:e0:4c:27:ff:4a については許可され、許可されていない MAC アドレスの 00:42:68:f4:c5:20 については拒否されていることが分かります。

トラフィックログで送信元 MAC を表示するためには対象通信を着信するインターフェース の設定にて「デバイスの検知」を有効化しておく必要があります。

対象 MAC アドレスの追加削除の運用について

MAC アドレスフィルタリングを運用する場合、運用中に許可対象となる MAC アドレスの追加・削除を行う必要が発生することが想定されます。

対象 MAC アドレスの追加・削除は、対象ファイアウォールポリシーに適用している MAC アドレスタイプのアドレスオブジェクトの設定にて MAC アドレスを追加・削除することで対応できます。

また、本記事の設定例では一つのアドレスオブジェクト内で複数の MAC アドレスを指定しましたが、別の設定方法として一つのアドレスオブジェクトには一つの MAC アドレスを指定することにして複数のアドレスオブジェクトを作成し、アドレスグループを作成して対象のアドレスオブジェクトをメンバーとして設定するという方法もあります。この場合、ファイアウォールポリシーでは送信元としてアドレスグループを指定します。アドレスグループを使用する場合、アドレスグループのメンバーを追加・削除することで対象 MAC アドレスの追加・削除を行うことができます。

設計時は運用も考慮してどのような設計とするかを決定してください。


【おすすめ】FortiGate の設計構築中なら以下の記事も役立つかもです

【支援ありがとうございます】Amazon アフィリエイトリンク

以下は Amazon アフィリエイトリンクです。このリンクをクリック後に Amazon で購入いただくと当サイト管理人に紹介料が入ります(以下の商品以外を購入でも発生)。支援いただける方は以下のリンクをクリック後に Amazon にて購入していただけると大変助かります。当サイト更新のモチベーションになります。

note メンバーシップへの参加もお待ちしています!

note(ノート)
陰の構築者たちのメンバーシップ|シェイド@陰の構築者 ネットワーク設計構築をする人に役立つメンバーシップです。 独自ブログ(https://shadowgarden.org/)にてネットワークエンジニア向け情報を発信しており、その活動を応援...

【アフィリエイト】おすすめ WordPress テーマ【SWELL

当サイトでは WordPress テーマとして SWELL を使用しています。以前は無料・高機能テーマとして知られる Cocoon を使用していて Cocoon も使いやすかったのですが、SWELL を使い始めてからは SWELL のほうが圧倒的に使いやすいなと思いました。そして何より読み込み速度が速い。SWELL を使い始めてから、過去の Cocoon のブログを見直したときに「あれ、こんなに表示遅かったっけ?」という感覚になりました。

また SWELL はデフォルトでもオシャレなデザインですが柔軟にカスタマイズすることもでき個性のあるサイトを作成できます。さらにブログパーツや広告タグといった再利用可能なブログの「部品」も作成することができ、ブログ作成効率も高いです。

技術ブログやアフィリエイト等での収益化を見据えたブログの作成に SWELL は最適です。初見では価格が高いなと思うと思いますが、私としては SWELL を採用して良かったしそれ以上の価値があると感じています。
ブログの新設やテーマ変更を考えている人は一度 SWELL を検討してみてください。
以下の画像リンクから詳細な情報を確認できます。

レンタルサーバーを探している人には安定性に定評のあるエックスサーバーをお勧めします。
当サイトもエックスサーバーを使用しています。WordPress のインストールも簡単にできます。

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

コメント

コメントする

目次