Descripción
Este artículo describe cómo usar el grupo de direcciones IP y su tipo según la necesidad de la red.
Solución
SNAT dinámica.
SNAT dinámico asigna las direcciones IP privadas a la primera dirección pública disponible de un conjunto de direcciones.
En el firewall de FortiGate, esto se puede hacer usando grupos de IP.
Los grupos de IP son un mecanismo que permite que las sesiones que salen de FortiGate usen NAT.
Un conjunto de direcciones IP define una sola dirección IP o un rango de direcciones IP que se utilizará como la dirección de origen durante la duración de la sesión.
Estas direcciones asignadas se utilizan en lugar de la dirección IP asignada a esa interfaz de FortiGate.
Tipos de grupos de IP.
FortiGate utiliza cuatro tipos de grupos de direcciones IP IPv4.
Esta receta se centra en algunas de las diferencias entre ellos.
Sobrecarga.
Este tipo de grupo de direcciones IP es similar al modo SNAT estático.
Es necesario definir un rango de IP externo que contenga una o más direcciones IP.
Cuando solo hay una dirección IP, es casi lo mismo que SNAT estático, se usa la dirección de la interfaz saliente.
Cuando contiene varias direcciones IP, es equivalente a un modo extendido de SNAT estático.
Por ejemplo, si se define un grupo de IP de tipo sobrecarga con dos direcciones IP externas (172.16.200.1—172.16.200.2), dado que hay 60 416 números de puerto disponibles por IP, este grupo de IP puede manejar 60 416*2 direcciones IP internas.
abcd = a * (256)3 + b * (256)2 + c * (256) + d
Por ejemplo.
192.168.0.1 = 192 * (256)3 + 168 * (256)2 + 0 * (256) + 1 = 3232235521
Si hay un grupo de IP, donde:
– P1 = la primera dirección en el grupo de IP.
– R1 = el número de direcciones IP en el grupo de IP.
– X = la dirección IP de origen como un número decimal.
– Y = la dirección IP asignada.
Y = P1 + X módulo R1
Por ejemplo.
192 * (256)3 + 168 * (256)2 + 1 * (256) + 200 = 3232235976
2) Determine la cantidad de direcciones IP en el grupo.
172.26.73.90 – 172.26.73.20 = 71
3) Encuentre el resto de la dirección IP de origen dividida por la cantidad de direcciones en el grupo.
3232235976 módulo 71 = 26
4) Agregue el resto a la primera dirección IP del grupo.
172.26.73.20 + 26 = 172.26.73.46
Entonces, la dirección IP asignada es 172.26.73.46 .
– P1 = la primera dirección en el primer grupo de IP.
– P2 = la primera dirección en el segundo grupo de IP.
– R1 = el número de direcciones IP en el primer grupo de IP.
– R2 = el número de direcciones IP en el segundo grupo de IP.
– X = la dirección IP de origen como un número decimal.
– Y = la dirección IP asignada.
Si X mod (R1 + R2) >= P1, entonces Y = P2 + X mod R2
Si X mod (R1 + R2) < P1, entonces Y = P1 + X mod R1
Por ejemplo.
192 * (256)3 + 168 * (256)2 + 1 * (256) + 200 = 3232235976
2) Determinar el número total de direcciones IP en los grupos.
(172.26.73.90 – 172.26.73.20) + (172.26.75.50 – 172.26.75.150) = 71 + 101 = 172
3) Encuentre el resto de la dirección IP de origen dividida por la cantidad de direcciones en los grupos.
3232235976 módulo 172 = 108
4) El resto es mayor que la cantidad de direcciones en pool01, por lo que la dirección se selecciona de pool02 y el resto se vuelve a calcular basándose solo en pool02.
3232235976 módulo 101 = 40
5) Agregue el nuevo resto a la primera dirección IP en pool02.
172.26.75.50 + 40 = 172.26.75.90
Entonces, la dirección IP asignada es 172.26.75.90 .
Doce y cincuenta y nueve de la noche.
Este tipo de grupo de IP significa que la dirección IP interna y la dirección IP externa (traducida) coinciden uno a uno.
Rango de puerto fijo.
Para los tipos de grupo de IP de sobrecarga y uno a uno, esto no es necesario para definir el rango de IP interno.
Por ejemplo, si definimos una dirección IP externa (172.16.200.1) y diez direcciones IP internas (10.1.100.1-10.1.100.10), hay una combinación de IP+Puerto como la siguiente tabla.
Este tipo de grupo de IP también es un tipo de traducción de dirección de puerto (PAT).
– Rango de IP externo: 172.16.200.1—172.16.200.1.
– Tamaño del bloque: 128.
– Bloque por usuario: 8.
Resultado.
– Total-PBAs: 472 (60416/128).
– Se pueden usar puertos máximos por Usuario (Dirección IP interna): 1024 (128*8).
– Cuantas IP Internas se pueden manejar: 59 (60416/1024 o 472/8).
Ejemplo de configuración.
Para configurar el grupo de IP de sobrecarga desde la GUI.
2) Seleccione Grupo IPv4 y luego seleccione Sobrecarga.
# config firewall ippool
edit «Sobrecarga-ippool»
set startip 172.16.200.1
set endip 172.16.200.1
next
end
Para configurar un grupo de direcciones IP uno a uno usando la GUI.
1) En Política y objetos -> Grupos de IP y seleccione ‘Crear nuevo’.
2) Seleccione Grupo IPv4 y luego seleccione ‘Uno a uno’.
# config firewall ippool
edit «One-to-One-ippool»
set type one-to-one
set startip 172.16.200.1
set endip 172.16.200.2
next
end
Para configurar el grupo de IP de rango de puerto fijo desde la GUI.
2) Seleccione Grupo IPv4 y luego seleccione Rango de puerto fijo.
# config firewall ippool
edit «FPR-ippool»
set type fixed-port-range
set startip 172.16.200.1
set endip 172.16.200.1
set source-startip 10.1.100.1
set source-endip 10.1.100.10
next
end
Para configurar el grupo de direcciones IP de asignación de bloques de puertos desde la GUI.
1) En Política y objetos > Grupos de IP y seleccione ‘Crear nuevo’.
2) Seleccione Grupo IPv4 y luego seleccione Asignación de bloques de puertos.
# config firewall ippool
edit PBA-ippool
set type port-block-allocation
set startip 172.16.200.1
set endip 172.16.200.1
set block-size 128
set num-blocks-per-user 8
next
end
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!