Richtlinienrouting-Konfiguration in Fortigate

8

Ich habe ein Szenario, in dem eine Fortigate-Firewall verwendet wird, um interne Netzwerke vom Internet zu trennen (FortiOS Version 4.0 MR3 Patch 11). Derzeit ist eine einzige Internetverbindung an die Firewall angeschlossen, und eine statische Standardroute wird verwendet, um den gesamten Internetverkehr durch die Firewall zu leiten. Ich möchte eine zweite Internetverbindung an die Firewall anschließen und dann nur bestimmten Datenverkehr durch diese leiten, z. B. Webbrowser-Datenverkehr.

Für dieses Setup behalte ich die aktuelle statische Standardroute über die erste Verbindung bei und konfiguriere dann Richtlinienroutingoptionen, um den Verkehr mit den Zielports TCP / 80 und TCP / 443 über die zweite Internetverbindung weiterzuleiten. Wie erwartet wird das Richtlinienrouting vor der Routing-Tabelle ausgewertet und der gesamte für TCP / 80 und TCP / 443 bestimmte Datenverkehr wird an die zweite Verbindung gesendet, einschließlich des Datenverkehrs zwischen Subnetzen, die direkt mit dem Fortigate verbunden sind, wodurch die Kommunikation zwischen ihnen unterbrochen wird.

In einer Cisco-Umgebung würde ich die ACL anpassen, die verwendet wird, um den Datenverkehr für das Richtlinienrouting abzugleichen, den Datenverkehr zwischen internen Netzwerken am Anfang der ACL verweigern und am Ende eine Anweisung "any any" hinzufügen. Ich kann jedoch nicht den Weg finden, das Fortigate anzuweisen, auf ähnliche Weise zu arbeiten.

Wissen Sie, wie dieses Szenario mit Fortigate funktioniert?

Daniel Yuste Aroca
quelle

Antworten:

4

Da Richtlinienrouten von oben nach unten ausgewertet werden, können Sie diese Grenze umgehen, indem Sie einen spezifischeren Eintrag platzieren, der dem Datenverkehr vom internen Subnetz A zum internen Subnetz B entspricht.

Dies sollte jedoch weniger komfortabel sein, wenn Sie viele verschiedene Netzwerke an Ihre interne Schnittstelle angeschlossen haben.

In diesem Fall würde ich Ihnen einen Trick empfehlen, den ich einmal verwendet habe: Da Fortigate-Geräte QoS-Markierungen ignorieren, sollten Sie Ihre "Internet" -Pakete am Firewall-Port Ihres Cisco-Switches mit einem bestimmten TOS signieren und diese Markierung dann in Ihrem verwenden Politik-Route.

Marco Marzetti
quelle
7

Aus dem Network Labs- Blog:

"Im Falle einer Fortinet-Firewall ist die Richtlinienroute:
CLI-Version:

config router policy
    edit 1
        set input-device "port4"
        set src 172.18.0.0 255.255.0.0
        set dst 192.168.3.0 255.255.255.0
        set protocol 6
        set start-port 443
        set end-port 443
        set gateway 1.1.1.1
        set output-device "port3"
    next
end

Informationen zur GUI-Version finden Sie im obigen Blog. Ich kann keine Bilder posten, bis ich 10 Wiederholungspunkte bekomme. : - /

Sigwo
quelle
Eine der Übereinstimmungsbedingungen für dieses Beispiel ist, dass die Quelladresse in 172.18.0.0/16 und die Zieladresse in 192.168.3.0/24 fällt. Ich frage mich, wie man "Quelladresse fällt in 172.18.0.0/16 und Zieladresse fällt in ein beliebiges Subnetz außer 192.168.3.0/24"
Daniel Yuste Aroca
Erstellen Sie eine ACL, die die Quelle 172.18.0.0/16 für das Ziel 192.168.3.0/24 verweigert. Mit der obigen Anweisung würden Sie dann das Ziel ändern, an das 443 gehen soll.
Sigwo
AFAIK, ACLs werden vor PBRs ausgewertet. Die ACL würde also den Verkehr verweigern, dann würde die PBR dafür sorgen, dass der 443-Verkehr zu Ihrer gewünschten Schnittstelle / Route geleitet wird.
Sigwo