Kurt Ahmet Erek

FortiGate’te Belirli Bir Cihazı Özel Bir WAN IP ile İnternete Çıkarmak (SNAT – IP Pool)

Kurumsal ağlarda bazı cihazların, internete sabit ve belirli bir public IP adresi üzerinden çıkması gerekebilir.
(Banka sistemleri, dış servis whitelist işlemleri, entegrasyonlar vb.)

Bu yazıda FortiGate Firewall üzerinde tek bir iç IP adresinin, belirli bir dış (WAN) IP kullanarak internete çıkmasını, web arayüzü (GUI) üzerinden adım adım anlatıyorum.

Senaryo

  • İç ağdaki cihaz IP’si:
    10.10.20.50
  • İnternete çıkış yapılacak public IP:
    185.120.45.10
  • Firewall: FortiGate
  • Amaç:
    Sadece bu cihazın, belirtilen public IP üzerinden internete çıkması

1. WAN Arayüzünde Secondary IP Tanımlama

Öncelikle kullanılacak public IP adresinin FortiGate üzerinde tanımlı olması gerekir.

Network → Interfaces
İnternet çıkışı yapılan WAN arayüzü (örneğin wan1) açılır.

  • Secondary IP: Enable
  • IP Address: 185.120.45.10
  • Netmask: ISP tarafından verilen subnet (örneğin 255.255.255.224)

Bu işlem, FortiGate’in bu public IP’yi çıkış için kullanabilmesi açısından zorunludur.

2. Dynamic IP Pool (SNAT) Oluşturma

Bu adımda, çıkışta kullanılacak public IP için IP Pool tanımlanır.

Policy & Objects → IP Pools

  • Name: SNAT_185.120.45.10
  • Type: Overload
  • External IP address/range:
    185.120.45.10 - 185.120.45.10
  • NAT64: Disabled
  • ARP Reply: Disabled

Bu yapılandırma ile FortiGate, ilgili cihazın internet çıkışında bu IP’yi SNAT olarak kullanır.

3. İç IP için Address Object Oluşturma

Firewall kuralında kaynak olarak kullanmak üzere iç IP için bir adres objesi oluşturulur.

Policy & Objects → Addresses

  • Name: HOST_10.10.20.50
  • Type: IP/Netmask
  • IP/Netmask: 10.10.20.50/32

4. Firewall Policy Oluşturma (LAN → WAN)

Policy & Objects → Firewall Policy bölümünde yeni bir kural oluşturulur.

  • Incoming Interface: lan
  • Outgoing Interface: wan1
  • Source: HOST_10.10.20.50
  • Destination: all
  • Service: ALL
  • Action: ACCEPT
  • NAT: Enable

NAT ayarlarında:

  • Use Dynamic IP Pool: Enable
  • Pool Name: SNAT_185.120.45.10

5. Policy Sırası

Oluşturulan bu kural, genel LAN → Internet kuralının üstünde yer almalıdır.

FortiGate, kuralları yukarıdan aşağıya doğru işler ve ilk eşleşen policy uygulanır.

6. Kontrol ve Doğrulama

İlgili cihazdan internete çıkış yapıldığında:

  • Bir IP kontrol sitesinden public IP doğrulanabilir
  • FortiGate üzerinde:
    • Log & Report → Forward Traffic
    • Kaynak IP: 10.10.20.50
    • NAT IP: 185.120.45.10 olarak görünmelidir

Sonuç

FortiGate üzerinde IP Pool (SNAT) kullanarak belirli cihazların özel bir public IP üzerinden internete çıkması, doğru yapılandırıldığında stabil ve yönetilebilir bir çözümdür.
Bu yöntem özellikle dış sistemlerle entegrasyon gerektiren ortamlarda büyük kolaylık sağlar.

Translate »