« 
 »
fev 27 2012

Firewall Fortigate

Publicado por Ricardo e arquivado em Segurança, tags: , , ,

Hoje falaremos sobre o modulo de firewall fortigate da empresa fortinet. Este e um produto bem interessante devido a variedade de features disponíveis. Vamos a elas:

  • Router
  • Firewall
  • IPS
  • VPN
  • Filtro Web
  • Filtro de Email
  • Gateway Antivirus                
  • Servidor DHCP                  

* Todas verificadas na versão do Firmware 4.0

Neste artigo iremos focar no modulo de firewall, imaginemos que precisamos criar um PAT (Port Forwarding Translation) de uma conexão vinda da internet a um determinado host interno em uma porta especifica.

Topologia:


Faça acesso ao dispositivo via SSH e execute os seguintes comandos:

 

! Visualizando a policy existente 
Rdefault# sh firewall vip

! Visualizando a configuração do VIP (Virtual IP Configuration)
Rdefault# show firewall policy 

! Visualizando serviços criados (customizados) por você.
Rdefault# show firewall service custom

! Criando um VIP 
Rdefault# config firewall vip

edit "Acesso_SSH"
set extip 200.200.200.2
set extintf "wan"
set portforward enable
set mappedip 172.16.1.4
set extport 22
! Neste passo você poderia fazer um Port Forwading entre portas diferentes
 Ex: receber a conexão na porta 55 e passar para 22. 

set mappedport 22
next
end

!Criando um grupo de portas especifico
(este a apenas um exemplo caso não existisse o padrão 22(SSH)). 

Rdefault# config firewall service custom

edit "SSH_SRV_WebLinux"
set protocol TCP
set tcp-portrange 22
next
end

! Editando a policy wan

Rdefault# config firewall policy 2 Número da Policy wan 

set srcintf "wan"
set dstintf "internal"
set srcaddr "all"
set dstaddr " Acesso_SSH "
! Nome do VIP que você criou no passo anterior 

set action accept
set schedule "always"
set service "SSH_SRV_WebLinux"
! Aqui você pode colocar SSH ou um outro grupo de portas pré-definidos por você.

set logtraffic enable
set nat enable
! Verifique se não está com NAT habilitado (mude o status para disable),
ele não é necessário neste cenário. 

next

Referência:

Fortinet

Artigo publicado em segunda-feira, 27 de fevereiro de 2012 às 18:28 e arquivado em Segurança. Comentários a este artigo podem ser verificados através do feed RSS 2.0. Você pode deixar um comentário ou fazer um trackback de seu próprio site.

2 comentários para “Firewall Fortigate”
  1. FABRICIO TADEU disse:
    10 de abril de 2012 às 14:39

    BOM DIA!!!

    INTERESSANTE ARTIGO, POIS ESTOU EFETUANDO ALGUNS TESTES COM UM FORTIGATE.
    POREM, ME SURGIU UMA DUVIDA: É OBRIGATORIO PREENCHER O NUMERO DA POLICY ?
    SE EU QUISER CRIAR UM SCRIPT PARA CRIACAO DA POLICY, ONDE EU NAO SEI O NUMERO DA POLICY, NAO EXISTE A POSSIBILIDADE DE GERAR AUTOMATICAMENTE ESSE NUMERO, COMO E FEITO NA VERSAO GRAFICA ???

    GRATO,

    Responder
    • Ricardo disse:
      12 de abril de 2012 às 0:53

      Olá Fabricio qualquer linha do fortigate exceto o 30b suporta SIM, porém cuidado ao fazer replace de policy. Eu aconselho a você realizar um levantamento de todas as policy existentes em seu firewall e a partir dai criar os scripts com numero de policy aleatória.

      Não deixe de acompanhar nossos posts e se precisar de apoio em seu projeto pode nos enviar um e-mail.

      Abraço

      Responder
  2.  
Comentar