Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

Port forwarding w urządzeniu FortiGate 50E

FortiGate 50E to dosyć popularne ostatnio urządzenia brzegowe firmy Fortinet, przeznaczone dla małych i średnich przedsiębiorstw.

50E integruje w sobie firewall, IPS (Intrusion Prevention System), antywirus, antyspam, VPN. Pozwala także na filtrowanie treści www oraz kontrolę aplikacji. Zainteresowani mogą sobie poczytać nieco więcej na stronie producenta.

Dzisiaj jednak chciałbym się skupić na przekierowaniu portów na tymże urządzeniu. Oczywiście, nie jest to żadna wielka filozofia i każdy średnio rozgarnięty admin "rozpyka to" z zamkniętymi oczami. W porównaniu do urządzeń stricte domowych jest tu jednak do wykonania jeden dodatkowy krok bez którego całość nie będzie chciała funkcjonować a po co tracić czas na szukanie rozwiązania skoro można skorzystać z gotowca? ;) Skądinąd świetne filmy szkoleniowe Fortinet'a, również ten aspekt pomijają. Do rzeczy więc!

Na potrzeby tego tekstu uznajmy, że chcielibyśmy "wystawić" na zewnątrz port służący do komunikacji z panelem www serwera FreeNas. Powiedzmy, że będzie to port 1973 a serwer pracuje sobie w lanie z ip 10.10.1.252 No to git - port forward w FortiGate 50E jest łatwo osiągalny - przechodzimy do "Policy & Objects" -> "VirtualIPs" i wybieramy "Create New"

Wypełniamy potrzebne pola zgodnie z tym co widać na powyższym zdjęciu. Gwoli wyjaśnienia - jeżeli ktoś ma więcej niż jedno łącze WAN (w tym modelu można przyłączyć max. 2) to w polu "inteface" musi podać przez które z nich "poleci" ruch. "External IP Address/Range" oczywiście 0.0.0.0 aby można się było połączyć zewsząd, natomiast "Mapped IP Address/Range" to adres naszej maszyny serwerowej w sieci LAN czyli 10.10.1.252 No i na koniec wybrany przez nas port 1973 (protokół TCP). Po kliknięciu "Apply" otrzymujemy gotowy wpis.

Tym dodatkowym krokiem o którym wspomniałem we wstępie, będzie teraz przejście do "Policy & Objects" -> "Services" i dodanie raz jeszcze portu 1973 jako wyjątku.

Dlaczego tak? Cóż, w moim wariancie zapory, domyślną polityką jest "DENY ALL" a dopiero później sukcesywne przepuszczanie wszystkich dostępnych usług i portów. Dlatego też nie wystarczy dodać regułki w "VirtualIPs" - trzeba jeszcze powielić numer portu w "Services". Naturalnie jest to bardzo proste.

Dopiero teraz możemy dodać właściwy wpis do ustawień zapory. Wykonujemy to w "Policy & Objects" -> "IPv4 Policy" tak, jak na zdjęciu 6:

Tworzona polityka powinna zawierać nazwę, interfejsy przychodzący (incoming) i wychodzący (outgoing), w "Source" zaznaczamy "all", jako "Destination Address" podajemy naszą regułkę stworzoną w "VirtualIPs" (FreeNas Panel), "Schedule" czyli harmonogram przepuszczamy jako "always" i wreszcie w "Service" wybieramy protokoły http, https oraz utworzony przez nas wcześniej FreeNas port. "Action" jest domyślnie ustawiony na "Accept" więc tak zostawiamy - wszak połączenie ma być realizowane a nie blokowane.

Opcje "Firewall / Network Options", "Security Profiles" i "Logging Options" możemy na tą chwilę pominąć.

Po kliknięciu "Ok" polityka zostaje dodana do firewall'a.

W tym momencie możemy już połączyć się z naszym panelem www serwera FreeNas.

 

sprzęt bezpieczeństwo porady

Komentarze

0 nowych
edmun   13 #1 23.02.2017 14:09

Ok.. jestem średnio rozgarniętym adminem. Brawo ja! :D :D

Tak na serio.. oczekiwałem naprawdę jakiegoś zwrotu akcji w tym artykule, a tak znalazłem po prostu zwykły panel ustawień routera :( :(

scribe   3 #2 23.02.2017 14:11

ok, fortigate, chciałbym aby łączył dwie sieci:

192.168.0.1
192.168.1.1

obu ma dać internet

jak to rozwiąząc, krok po kroku

Ayaritsu   6 #3 23.02.2017 14:29

@scribe:

Routing po między nimi i jakaś polityka, bo domyślam się ze jedna to sieć serwerowa, a druga kliencka, więc lepiej nie przepuszczać całego ruchu z klientów do serwerów:) Ewentualnie jak zwykli pracownicy, to po prostu zwiększ maskę:)

Axles   18 #4 23.02.2017 14:32

Poradników o fortigate nigdy za wiele, liczę że napiszesz coś jeszcze ciekawego, a póki co zachowam sobie to :)

Astraltrooper   6 #5 23.02.2017 16:45

@scribe: Tworzysz sobie VLAN dla każdej podsieci. Dodajesz podsieci w odpowiedniej zakładce firewalla. A następnie dodajesz odpowiednie Policy. Ustawiasz jeszcze zarządzalne switche. I wszystko hula jak marzenie. Dla pewności można jeszcze looknąć na tablicę routingu czy wszystko dobrze ustawione.

  #6 23.02.2017 18:34

@scribe: No prosze Cie, 50E ma piec portow pod lany wiec mozesz se wykombinowac co tylko chcesz. To tylko kwestia odpowiednich obiektow i polityk gdyz tak to dziala w FortiGate. Jest tez taki bajer jak wirtualne domeny ale nie mialem jeszcze okazji sie tym zainteresowac. Mozesz takze porobic VLANY jak ktos tu gdzies wspomnial.

sagraelski   9 #7 23.02.2017 18:43

@edmun: No to... brawo Ty! Moze jednak komus ta garsc informacji sie przyda. Ja do tej pory bylem skazany na Netgear UTM50 wiec dla mnie Fortinety to zupelnie inna filozofia. Przy okazji poznawania tego sprzetu bede wiec cos "produkowal".

Ayaritsu   6 #8 23.02.2017 20:52

@sagraelski:
To ja spytam od innej strony:) Dlaczego Fortigate, a nie coś innego?:) Oczywiście nie przyjmuję argumentu, że jest potem na kogo zwalić winę za włam:)

trimpel   2 #9 23.02.2017 23:29

@Ayaritsu:
To ja podbije tak. Dlaczego coś innego a nie Fortigate? Każdy sprzęt ma wady. Osobiście uważam że FG ma dosyć dobrą dokumentację i jest mocno łopatologiczny.
Zaznaczam nie bronię sprzętu (bo czasami potrafi mnie doprowadzić do szału a już ładnych parę używam różnych urządzeń ze stajni Fortinetu).

sagraelski   9 #10 24.02.2017 06:09

@Ayaritsu: Ha ha - nie, nie - nie chcę na nikogo zwalać winy za włam :) Zwyczajnie, zrobiłem przegląd rynku i jak na potrzeby firmy w której pracuję, "na placu boju" pozostały dwa sprzęty - ten właśnie FortiGate i SOPHOS SG-105 (ewentualnie 115). Ceny z subskrypcjami były zbliżone ale jako, że kiedyś miałem chwilę do czynienia z FortiOS'em to zdecydowałem się na 50E.

Axles   18 #11 24.02.2017 07:22

@Ayaritsu: Skąd i na jakiej podstawie uważasz, że winę za włam można by na Fortigate zwalić w przeciwieństwie do innych rozwiązań?
Forti jest najpopularniejszy, ma darmowe szkolenia i obszerne dokumentacje to jeden z głównych argumentów za,

mariand12   1 #12 24.02.2017 07:40

Jeszcze do artykułu mógłbyś dodać wersje softu, bo przy Forti ma to znaczenie.

mulp   4 #13 24.02.2017 09:18

@Ayaritsu: My uzywamy Sophos (kiedys astaro) calkiem fajne - tylko panel www maja ciut oporniejszy niz ten z fortigate ... tzn ladniejszy ale jakos mniej czytelny - tak mi sie zdaje.

edmun   13 #14 24.02.2017 09:32

@sagraelski: Dobrze wiesz o co mi chodzi :) Zgrywam się tylko :)

sagraelski   9 #15 24.02.2017 09:34

@edmun: luzik :D

Ayaritsu   6 #16 24.02.2017 10:03

@trimpel:
Wiesz, to na tej zasadzie, dlaczego Linux, a nie Windows :) Po prostu wolę coś, nad czym mam całkowitą kontrolę, a Fortigate...robi co chce, wysyła jakieś dane w świat i nie wiadomo co tam jest, Fortinet mówi że to telemetria, ale skoro telemetria, to czemu nie pokażą co tam jest:) Pomijam fakt "backdoor'ów", czy tam 0day'ów:) Zależnie jak kto będzie tłumaczył:) Nie jestem negatywnie nastawiony, po prostu jednak wolę mieć pełną kontrolę nad tym co się dzieje:) Żeby nie było, w pracy mam Fortigate'a z wyższej półki:)

@sagraelski @Axles
Wiesz, wielu adminów woli rozwiązania za które płacą dlatego, że...właśnie mogą zwalić, że to wina jakiejś firmy, bo błąd itp. a nie wina admina, bo darmowe i sam konfigurował, a nie ma kto odpowiadać:) Wiele osób wie jak wygląda Windows VS Linux jeśli chodzi o bezpieczeństwo i w mniejszych firmach (szczególnie nie informatycznych) admini używają takich argumentów jak do czegoś dojdzie niestety.

axis85   2 #17 24.02.2017 10:56

Cześć, czy masz może na FG ustawione uwierzytelnianie użytkowników z LDAP?
Walczę z tym od jakiegoś czasu, i pomimo poprawnego czytania książki, reguły na użytkowników i grupy są pomijane. Musiałem robić reguły zastępcze po IP, ale to nie jest rozwiązanie.
Też uważam, że artykułów o Fortigate nigdy za wiele! :-)

Ayaritsu   6 #18 24.02.2017 11:44

@axis85
Ja mam. Jaki masz problem? Mam to ustawione do VPN'a.

trimpel   2 #19 24.02.2017 11:50

@Ayaritsu:
Nie traktuj jako atak czy coś mojej odpowiedzi. Jeśli chcesz mieć całkowitą kontrole to zostaje tylko linux odpowiednio przystosowany i tej wersji będę się trzymał. Widziałem błedy u każdego z dużych (Palo Alto, Cisco itp).
P.S
Prawdziwe FG zaczynają się dla mnie od 300D w góre.

Ayaritsu   6 #20 24.02.2017 12:10

@trimpel
No dlatego preferuję PFsens'a :) Ma najbliżej do tego:)

No ja mam właśnie z tych prawdziwych, ale nie chce zdradzać modelu:)

axis85   2 #21 24.02.2017 12:15

@Ayaritsu: Nie chodzi mi o VPN, tylko o reguły filtrowania ruchu wychodzącego. VPN mi też działa :P

Ayaritsu   6 #22 24.02.2017 12:28

@axis85:
Ja mam tak załatwione(poprzednik to tak rozwiązał), że ustawił IP po MAC'u i potem porobił grupy i grupami filtrowal :)

trimpel   2 #23 24.02.2017 12:31

@axis85:
Pytanie masz może AD?

sagraelski   9 #24 24.02.2017 12:33

@Ayaritsu: Czemu nie chcesz zdradzić? Obstawiam, że to 2500E? ;)

sagraelski   9 #25 24.02.2017 12:34

@mariand12: Fakt, ten ma wersję v5.4.1,build1064 (GA)

axis85   2 #26 24.02.2017 13:18

@trimpel: Mam AD, użytkownicy pracują na róznych komputerach, stąd konieczność filtrowania po grupach a nie IP.
Zainstalowałem DC Agenta na kontrolerach domeny, odblokowałem porty, ale w dalszym ciągu to nie działa. Reguła z blokowaniem użytkownika (którego znajduje) jest pomijana i przechodzi do następnej ogólnej :[
Nie wiem, albo jakieś toporne to w konfiguracji, albo jakiś głupi błąd...

trimpel   2 #27 24.02.2017 13:33

@axis85: Właśnie zmierzałem czy bawiłeś się z FSSO. Mi w paru miejscach działa to poprawnie. Zainstalowałeś samego DCagenta czy w wersji z Collectorem? Bo kiedyś namieszane było obecnie jest jeden instalator. Czy zrestartowałeś dc po instalacji DCagenta?

axis85   2 #28 24.02.2017 13:47

@trimpel: "FSSO"

Tak, zainstalowałem też FSSO, reset oczywiście. Szczerze mówiąc, to poza instalacją, na FG nie ustawiałem FSSO, bo nie takie było moje założenie. Mam wrażenie, że po prostu agent nie komunikuje się z urządzeniem pomimo otwarcia portów.
Z drugiej strony dziwię się, że to nie działa, bo jak pisałem, książkę przeszukuje prawidłowo, są grupy i użytkownicy.
Przebrnięcie się przez podręcznik jakoś mi się nie uśmiecha, ale chyba nie będzie wyjścia ;D

trimpel   2 #29 24.02.2017 13:58

@axis85: Dobra nie będę śmiecił tematu. Ja jestem leniwy z natury zobacz to:
https://www.youtube.com/watch?v=0DUqspQ3pzo Tylko że w wersji bez agenta przy użyciu LDAP

axis85   2 #30 24.02.2017 14:17

@trimpel: Pobawię się jeszcze jak znajdę czas. Dzięki :-)

korni007   6 #31 24.02.2017 16:31

Używamy u mnie w firmie...Bajka.Ogromna dokumentacja,mnóstwo filmów instruktażowych.
Sam sprzęt sprawuje się zajebiscie ;)

bachus   23 #32 24.02.2017 16:47

Fajne zabawki ma Fortigate... Zabawa zaczyna się, jak trzeba pożenić go z innym urządzeniem - myślałem, że się popłaczę przy usawieniu VPN (site-to-site) między Fortigate a Draytekiem ;-)
Inna sprawa - klient VPN (FortiClient) jest dość lekki, działa sprawnie i co ważne - ma całkiem konkretny program antywirusowy za darmo.

parranoya   9 #33 24.02.2017 19:19

Po wielu latach spędzonych w linuksowych i *BSD'owych konsolach, jak mam coś "wyklikać" to głupieję :-)