PaloAlto

【PaloAlto】ssh/httpsコンソールアクセス許可とDHCPサーバ設定

工場出荷時の管理コンソールアクセス

PaloAlto は工場出荷時では mgt ポートを使って [ https://192.168.1.1 ] へアクセスすることで GUI 操作が可能です。(ID/PW ともに admin)

PC 1 台で検証をするなどの場合は mgt ポートと一般のポートを付け替えたりするのは面倒なので、一般のポートから ssh や https での管理コンソールへアクセスできるように設定します。

mgt以外の一般ポートから ssh や https の管理コンソールアクセスを許可する設定手順

FortiGate ではインタフェースの設定の中に「管理者アクセス」という設定項目があり、ここで ping , ssh, https 等を許可しますが、PaloAlto では「ネットワークプロファイル」の「インターフェイス管理」というプロファイルを作成し、それをインタフェースに割り当てます。

「インターフェイス管理」プロファイルの作成

上部ペイン [Network] ⇒ 左ペイン [ネットワークプロファイル] ⇒ [インターフェイス管理] をクリックし、下部の [追加] をクリックします。

名前を付け (ここでは mng-access)、許可するサービスにチェックを入れます (ここでは HTTPS, SSH, Ping)。また、アクセス許可 IP アドレスを設定します。

中央ペインにプロファイルができたことを確認します。

作成したプロファイルをインターフェイスへ割り当て

作成した mng-access プロファイルを、アクセス許可したいインターフェイスに割り当てます。

上部ペイン [Network] ⇒ 左ペイン [インターフェイス] から該当のインターフェイス (ここでは ethernet1/3) を編集します。

以下の画面の [詳細] タブの [その他の情報] にて「管理プロファイル」に mng-access を設定し、[OK] をクリックします。

「このインターフェイスにアクセスできる第三者からファイアウォールの管理インターフェイスを攻撃されるおそれがあります。」と警告が出ます。そのように設定する意図なので当たり前のことですが、問題なければ「はい」をクリックします。(グローバル IP を持つインタフェースに適用するときは特に慎重に!)

あとは Commit すれば OK です。

DHCPサーバの設定

PaloAlto の特定インタフェースについて、DHCP サーバとなるように設定します。

上部ペイン [Network] ⇒ 左ペイン [DHCP] をクリックし、[追加] をクリックします。

DHCP サーバを動作させるインターフェイスを設定します。今回は ethernet1/3 配下のクライアントに DHCP で IP を配りたいので、ethernet1/3 と指定します。

また、[リース] タブの [IP プール] にてリース対象の IP アドレスの範囲を設定します。ここでは 10.1.1.11-10.1.1.200 としました。

次に [オプション] タブで、必要なオプションを追加します。ここではゲートウェイ (DGW)、サブネットマスク、プライマリ/セカンダリ DNS を設定しました。[OK] をクリックします。

中央ペインにエントリができていることを確認します。

あとは Commit すれば OK です。

コメント

タイトルとURLをコピーしました