Configurazione del routing delle politiche in Fortigate

8

Ho uno scenario in cui un firewall Fortigate viene utilizzato per separare le reti interne da Internet (FortiOS versione 4.0 MR3 patch 11). Al momento esiste una singola connessione Internet collegata al firewall e viene utilizzata una route statica predefinita per ottenere tutto il traffico Internet attraverso di essa. Vorrei collegare una seconda connessione Internet al firewall e quindi instradare solo un determinato traffico attraverso di esso, ad esempio il traffico di navigazione web.

Per questa configurazione, mantengo il percorso predefinito statico corrente attraverso il primo collegamento e quindi configuro le opzioni di routing dei criteri per instradare il traffico con la porta di destinazione TCP / 80 e TCP / 443 attraverso il secondo collegamento Internet. Come previsto, il routing dei criteri viene valutato prima della tabella di routing e tutto il traffico destinato a TCP / 80 e TCP / 443 viene inviato al secondo collegamento, incluso il traffico tra le sottoreti direttamente collegate a Fortigate, ciò che interrompe la comunicazione tra di loro.

In un ambiente Cisco, regolerei l'ACL utilizzato per abbinare il traffico per l'instradamento delle politiche, negando il traffico tra le reti interne all'inizio dell'ACL e aggiungendo un'istruzione "consentire qualsiasi" alla fine. Tuttavia, non riesco a trovare il modo di istruire il Fortigate a lavorare in modo simile.

Sai come far funzionare questo scenario con Fortigate?

routing  pbr  fortinet  fortigate 
Daniel Yuste Aroca
fonte

Risposte:

4

Poiché i percorsi delle politiche vengono valutati dall'alto verso il basso, è possibile aggirare questo limite inserendo una voce più specifica che corrisponda al traffico dalla sottorete interna A alla sottorete interna B.

Tuttavia, questo dovrebbe essere meno comodo se si hanno molte reti diverse collegate all'interfaccia interna.

In questo caso, ti consiglierei un trucco che ho usato una volta: poiché i dispositivi Fortigate ignorano i segni QoS, dovresti firmare i tuoi pacchetti "internet" sulla porta del firewall del tuo switch Cisco con un TOS specifico e quindi utilizzare quel segno nel tuo la politica-percorso.

Marco Marzetti
fonte
7

Dal blog di Network Labs :

"Nel caso di un firewall Fortinet, la relativa route politica:
versione CLI:

config router policy
    edit 1
        set input-device "port4"
        set src 172.18.0.0 255.255.0.0
        set dst 192.168.3.0 255.255.255.0
        set protocol 6
        set start-port 443
        set end-port 443
        set gateway 1.1.1.1
        set output-device "port3"
    next
end

Per la versione della GUI, controlla il blog sopra. Non riesco a pubblicare immagini fino a quando non ottengo 10 punti rep. : - /

sigwo
fonte
Una delle condizioni corrispondenti per questo esempio è che l'indirizzo di origine cade in 172.18.0.0/16 e l'indirizzo di destinazione in 192.168.3.0/24. Mi chiedo come configurare "l'indirizzo di origine cade in 172.18.0.0/16 e l'indirizzo di destinazione cade in qualsiasi sottorete tranne 192.168.3.0/24"
Daniel Yuste Aroca,
Creare un ACL che nega la fonte 172.18.0.0/16 alla destinazione 192.168.3.0/24. Quindi, la dichiarazione precedente cambierà la destinazione dove vuoi che 443 vada.
sigwo,
AFAIK, ACL vengono valutati prima dei PBR. Quindi l'ACL negherebbe il traffico, quindi il PBR si occuperebbe di instradare il traffico 443 verso l'interfaccia / il percorso desiderati.
sigwo,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.