Ansible で Fortigate のポリシーを追加・変更する

  • 3
    Like
  • 2
    Comment

1. Ansible のFortiOS対応

Ansible 2.3 で、FortiOSに対応した以下2つのモジュールが導入されました。

  • fortios_config: コンフィグのバックアップを取得したりファイルからコンフィグを投入する
  • fortios_ipv4_policy: IPv4ポリシーを管理する

今回は fortios_ipv4_policy を利用して、Fortigate のコンフィグのバックアップを取得してみます。
(forios_config についてはこちら)

2. インストール ~ 3. インベントリファイルの作成

Ansible、pyFG インストール、インベントリファイルの作成は以下の記事を参照してください。

4. Playbookの作成

以下のファイルを forti_policy.yml として作成します。

Playbook(サービス2個バージョン)
---
- hosts: forti
  gather_facts: no
  connection: local

  tasks:
    - name: manage policy
      fortios_ipv4_policy:
        host: "{{ inventory_hostname }}"
        username: "{{ ansible_user }}"
        password: "{{ ansible_password }}"
        id: 1
        src_addr: internal1
        dst_addr: all
        services:
          - HTTP
          - HTTPS
        state: present
        policy_action: accept

5. 動作確認

5.1. ポリシー追加

5.1.1 事前確認

明示的なポリシーが何もない状態から始めます。

コンフィグ事前確認
fortigate01 # show firewall policy
config firewall policy
end

fortigate01 #

5.1.2 Playbook実行

実行
[root@localhost ansible]# ansible-playbook forti_policy.yml

PLAY [forti] *************************************************************************************************

TASK [manage policy] *****************************************************************************************
changed: [192.168.0.254]

PLAY RECAP ***************************************************************************************************
192.168.0.254               : ok=1    changed=1    unreachable=0    failed=0

5.1.3 コンフィグ確認

ポリシーが追加されました。

コンフィグ事後確認
fortigate01 # show firewall policy
config firewall policy
    edit 1
        set srcintf "internal1"
        set dstintf "wan1"
        set srcaddr "all"
        set dstaddr "all"
        set action accept
        set schedule "always"
        set service "HTTP" "HTTPS"
    next
end

5.2 ポリシー変更

ここで、既存ポリシーにサービスを追加することにします。

5.2.1. Playbook変更

サービスの指定のところに DNS を追加します。

Playbook(サービス3個バージョン)
---
- hosts: forti
  gather_facts: no
  connection: local

  tasks:
    - name: manage policy
      fortios_ipv4_policy:
        host: "{{ inventory_hostname }}"
        username: "{{ ansible_user }}"
        password: "{{ ansible_password }}"
        id: 1
        src_intf: internal1
        src_addr: all
        dst_intf: wan1
        dst_addr: all
        services:
          - HTTP
          - HTTPS
          - DNS    ######### ここ追加
        state: present
        policy_action: accept

5.2.3 Playbook再実行

Playbookを変更したところで、もう一度実行します。

実行
[root@localhost ansible]# ansible-playbook forti_policy.yml

PLAY [forti] *************************************************************************************************

TASK [manage policy] *****************************************************************************************
changed: [192.168.0.254]

PLAY RECAP ***************************************************************************************************
192.168.0.254               : ok=1    changed=1    unreachable=0    failed=0

[root@localhost ansible]#

5.2.4 コンフィグ確認

DNS が追加され、set service "HTTP" "HTTPS" "DNS" となりました。

コンフィグ事後確認
fortigate01 # show firewall policy
config firewall policy
    edit 1
        set srcintf "internal1"
        set dstintf "wan1"
        set srcaddr "all"
        set dstaddr "all"
        set action accept
        set schedule "always"
        set service "HTTP" "HTTPS" "DNS"
    next
end

5.3 べき等性の確認

このモジュールにもべき等性があるのかどうか、確認します。

5.3.1 Playbook再実行

Playbookの内容は特に変更せずに、もう一度実行してみます。

実行
[root@localhost ansible]# ansible-playbook forti.yml

PLAY [forti] *************************************************************************************************

TASK [manage policy] *****************************************************************************************
ok: [192.168.0.254]

PLAY RECAP ***************************************************************************************************
192.168.0.254               : ok=1    changed=0    unreachable=0    failed=0

changed=0 という結果から分かるように、コンフィグは変更されませんでした。(べき等性がある)