Configuración de enrutamiento de políticas en Fortigate

8

Tengo un escenario en el que se usa un firewall Fortigate para separar las redes internas de Internet (FortiOS Versión 4.0 MR3 parche 11). En este momento hay una única conexión a Internet conectada al firewall y se usa una ruta estática predeterminada para obtener todo el tráfico de Internet a través de él. Me gustaría conectar una segunda conexión de Internet al firewall y luego enrutar solo cierto tráfico a través de él, por ejemplo, el tráfico de navegación web.

Para esta configuración, mantengo la ruta predeterminada estática actual a través del primer enlace y luego configuro las opciones de enrutamiento de políticas para enrutar el tráfico con el puerto de destino TCP / 80 y TCP / 443 a través del segundo enlace de Internet. Como se esperaba, el enrutamiento de políticas se evalúa antes de la tabla de enrutamiento y todo el tráfico destinado a TCP / 80 y TCP / 443 se envía a través del segundo enlace, incluido el tráfico entre subredes conectadas directamente a Fortigate, lo que interrumpe la comunicación entre ellos.

En un entorno de Cisco, ajustaría la ACL utilizada para hacer coincidir el tráfico para el enrutamiento de políticas, negando el tráfico entre las redes internas al comienzo de la ACL y agregando una declaración de "permitir cualquier" al final. Sin embargo, no puedo encontrar la manera de ordenar a Fortigate que trabaje de manera similar.

¿Sabes cómo hacer que este escenario funcione con Fortigate?

Daniel Yuste Aroca
fuente

Respuestas:

4

Dado que las rutas de políticas se evalúan de arriba hacia abajo, puede evitar este límite colocando una entrada más específica que coincida con el tráfico desde la subred interna A a la subred interna B.

Sin embargo, esto debería ser menos que cómodo si tiene muchas redes diferentes conectadas a su interfaz interna.

En este caso, le recomendaría un truco que utilicé una vez: dado que los dispositivos Fortigate ignoran las marcas de QoS, debe firmar sus paquetes de "Internet" en el puerto de su conmutador Cisco frente al firewall con un TOS específico y luego usar esa marca en su política de ruta.

Marco Marzetti
fuente
7

Del blog de Network Labs :

"En el caso de un firewall de Fortinet, su ruta de política:
versión CLI:

config router policy
    edit 1
        set input-device "port4"
        set src 172.18.0.0 255.255.0.0
        set dst 192.168.3.0 255.255.255.0
        set protocol 6
        set start-port 443
        set end-port 443
        set gateway 1.1.1.1
        set output-device "port3"
    next
end

Para la versión GUI, consulte el blog de arriba. No puedo publicar imágenes hasta que obtenga 10 puntos de repetición. : - /

sigwo
fuente
Una de las condiciones coincidentes para este ejemplo es que la dirección de origen cae en 172.18.0.0/16 y la dirección de destino en 192.168.3.0/24. Me pregunto cómo configurar "la dirección de origen cae en 172.18.0.0/16 y la dirección de destino cae en cualquier subred excepto 192.168.3.0/24"
Daniel Yuste Aroca
Cree una ACL que niegue el origen 172.18.0.0/16 al destino 192.168.3.0/24. Luego, en la declaración anterior, cambiaría el destino donde desea que vaya 443.
sigwo
AFAIK, las ACL se evalúan antes de las PBR. Entonces, la ACL negaría el tráfico, luego el PBR se encargaría de enrutar el tráfico 443 a la interfaz / ruta deseada.
sigwo