Configuração de roteamento de política no Fortigate

8

Eu tenho um cenário em que um firewall Fortigate é usado para separar redes internas da Internet (FortiOS Versão 4.0 MR3 patch 11). No momento, há uma única conexão à Internet conectada ao firewall e uma rota estática padrão é usada para obter todo o tráfego da Internet através dele. Gostaria de conectar uma segunda conexão à Internet ao firewall e, em seguida, rotear apenas certo tráfego por ele, por exemplo, o tráfego de navegação na web.

Para essa configuração, mantenho a rota padrão estática atual através do primeiro link e, em seguida, configuro as opções de roteamento de política para rotear o tráfego com a porta de destino TCP / 80 e TCP / 443 através do segundo link da Internet. Como esperado, o roteamento de política é avaliado antes da tabela de roteamento e todo o tráfego destinado ao TCP / 80 e TCP / 443 é enviado para o segundo link, incluindo o tráfego entre sub-redes diretamente conectadas ao Fortigate, o que interrompe a comunicação entre eles.

Em um ambiente Cisco, eu ajustaria a ACL usada para corresponder o tráfego ao roteamento de políticas, negando o tráfego entre redes internas no início da ACL e adicionando uma instrução "permitir qualquer" no final. No entanto, não consigo encontrar o caminho para instruir o Fortigate a trabalhar de maneira semelhante.

Você sabe como fazer esse cenário funcionar com o Fortigate?

Daniel Yuste Aroca
fonte

Respostas:

4

Como as rotas de política são avaliadas de cima para baixo, você pode contornar esse limite colocando uma entrada mais específica que corresponde ao tráfego da sub-rede interna A à sub-rede interna B.

No entanto, isso deve ser menos confortável se você tiver muitas redes diferentes conectadas à sua interface interna.

Nesse caso, eu recomendaria um truque que usei uma vez: como os dispositivos Fortigate ignoram as marcas de QoS, você deve assinar os pacotes "Internet" na porta do firewall do switch Cisco com um TOS específico e usar essa marca no seu política-rota.

Marco Marzetti
fonte
7

No blog Network Labs :

"No caso de um firewall Fortinet, sua rota de política:
versão CLI:

config router policy
    edit 1
        set input-device "port4"
        set src 172.18.0.0 255.255.0.0
        set dst 192.168.3.0 255.255.255.0
        set protocol 6
        set start-port 443
        set end-port 443
        set gateway 1.1.1.1
        set output-device "port3"
    next
end

Para a versão da GUI, consulte o blog acima. Não é possível postar imagens até obter 10 pontos de repetição. : - /

sigwo
fonte
Uma das condições correspondentes para este exemplo é que o endereço de origem cai em 172.18.0.0/16 e o ​​endereço de destino em 192.168.3.0/24. Eu quero saber como configurar o "endereço de origem cai 172.18.0.0/16 e endereço de destino cai em qualquer sub-rede, exceto 192.168.3.0/24"
Daniel Yuste Aroca
Crie uma ACL que negue a origem 172.18.0.0/16 ao destino 192.168.3.0/24. Em seguida, na instrução acima, você alteraria o destino para onde deseja ir.
sigwo 17/05
AFAIK, ACLs são avaliadas antes dos PBRs. Portanto, a ACL negaria o tráfego e o PBR cuidaria de rotear o tráfego 443 para a interface / rota desejada.
sigwo 17/05