Konfigurasi perutean kebijakan di Fortigate

8

Saya memiliki skenario di mana firewall Fortigate digunakan untuk memisahkan jaringan internal dari Internet (FortiOS Versi 4.0 MR3 patch 11). Saat ini ada koneksi Internet tunggal yang terpasang pada firewall dan rute statis default digunakan untuk mendapatkan semua lalu lintas internet melaluinya. Saya ingin melampirkan koneksi Internet kedua ke firewall dan kemudian hanya merutekan lalu lintas tertentu melalui itu, misalnya lalu lintas web browsing.

Untuk pengaturan ini, saya menjaga rute default statis saat ini melalui tautan pertama dan kemudian mengonfigurasi opsi perutean kebijakan untuk merutekan lalu lintas dengan port tujuan TCP / 80 dan TCP / 443 melalui tautan Internet kedua. Seperti yang diharapkan, perutean kebijakan dievaluasi sebelum tabel perutean dan semua lalu lintas yang ditujukan ke TCP / 80 dan TCP / 443 dikirim melalui tautan kedua, termasuk lalu lintas antara subnet yang terhubung langsung ke Fortigate, yang memutuskan komunikasi di antara mereka.

Dalam lingkungan Cisco saya akan menyesuaikan ACL yang digunakan untuk mencocokkan lalu lintas untuk kebijakan routing, menyangkal lalu lintas antara jaringan internal di awal ACL dan menambahkan pernyataan "ijin apa saja" di akhir. Namun, saya tidak dapat menemukan cara untuk menginstruksikan Fortigate untuk bekerja dengan cara yang sama.

Apakah Anda tahu cara membuat skenario ini berfungsi dengan Fortigate?

Daniel Yuste Aroca
sumber

Jawaban:

4

Karena rute kebijakan dievaluasi dari atas ke bawah, Anda dapat mengatasi batas ini dengan menempatkan lalu lintas pencocokan entri yang lebih spesifik dari subnet A internal ke subnet internal B.

Namun, ini seharusnya kurang nyaman jika Anda memiliki banyak jaringan yang berbeda terpasang ke antarmuka internal Anda.

Dalam hal ini, saya akan merekomendasikan Anda sebuah trik yang pernah saya gunakan: karena perangkat Fortigate mengabaikan tanda QoS, Anda harus menandatangani paket "internet" Anda pada port yang menghadap firewall dari switch Cisco Anda dengan TOS tertentu dan kemudian menggunakan tanda itu di rute kebijakan.

Marco Marzetti
sumber
7

Dari blog Lab Jaringan :

"Dalam kasus firewall Fortinet, Rute Kebijakannya:
versi CLI:

config router policy
    edit 1
        set input-device "port4"
        set src 172.18.0.0 255.255.0.0
        set dst 192.168.3.0 255.255.255.0
        set protocol 6
        set start-port 443
        set end-port 443
        set gateway 1.1.1.1
        set output-device "port3"
    next
end

Untuk versi GUI, periksa blog di atas. Tidak dapat memposting gambar sampai saya mendapatkan 10 poin rep. : - /

sigwo
sumber
Salah satu kondisi yang cocok untuk contoh ini adalah bahwa alamat sumber jatuh ke 172.18.0.0/16 dan alamat tujuan ke 192.168.3.0/24. Saya bertanya-tanya bagaimana mengkonfigurasi "alamat sumber jatuh ke 172.18.0.0/16 dan alamat tujuan jatuh ke setiap subnet kecuali 192.168.3.0/24"
Daniel Yuste Aroca
Buat ACL yang menolak sumber 172.18.0.0/16 ke tujuan 192.168.3.0/24. Kemudian, pernyataan di atas Anda akan mengubah tujuan di mana Anda ingin pergi 443.
Sigwo
AFAIK, ACL dievaluasi sebelum PBR. Jadi ACL akan menolak lalu lintas, maka PBR akan mengatur rute 443 lalu lintas ke antarmuka / rute yang Anda inginkan.
Sigwo