Cómo resolver el error 'NAT port is exhausted' en Fortinet al usar puertos NAT constantemente

El presente artículo aborda un problema común que enfrentan los dispositivos FortiGate: el agotamiento de los puertos NAT. Este problema es importante porque puede afectar la conectividad y el rendimiento de la red al limitar la capacidad de manejar nuevas sesiones. El artículo proporcionará un diagnóstico del problema, así como soluciones recomendadas para mitigar su impacto.

Índice

1 Descripción del problema
2 Alcance
3 Diagnóstico paso a paso
4 Solución recomendada
5 Comandos CLI utilizados
6 Buenas prácticas y recomendaciones
7 Notas adicionales

Descripción del problema

Cuando un FortiGate se queda sin puertos NAT disponibles, los nuevos intentos de creación de sesiones son rechazados. Esto no solo afecta la capacidad de la red, sino que también genera una gran cantidad de registros que el sistema debe procesar, complicando aún más la situación.

Alcance

Este artículo es relevante para dispositivos FortiGate que utilizan NAT para el manejo de sesiones en entornos donde se producen múltiples conexiones concurrentes.

Diagnóstico paso a paso

Para comprender mejor el problema, consideremos un escenario típico en el que un FortiGate tiene un solo IP SNAT, lo que le permite crear hasta 60,418 sesiones.

Una vez alcanzado el límite de 60,418 sesiones, cualquier nueva sesión será denegada debido al agotamiento del puerto NAT. Esto provocará un aumento en el valor del ‘clash’.

El sistema escribirá registros limitados a 10 líneas cada 7 a 8 segundos para evitar la sobrecarga.

El siguiente ejemplo de registro muestra únicamente una línea para mayor claridad.

Solución recomendada

Para gestionar el problema de agotamiento de puertos NAT, se recomienda revisar la configuración de NAT y evaluar la posibilidad de aumentar el número de direcciones IP disponibles para NAT. Esto se puede lograr al agregar IPs adicionales o ajustar la configuración de las sesiones concurrentes permitidas.

Comandos CLI utilizados

Algunos comandos útiles para el diagnóstico y resolución del problema son:

show system session: Muestra el número actual de sesiones activas y el uso de puertos NAT.
get session: Proporciona información detallada sobre las sesiones activas y posibles conflictos.
diag firewall iprope list: Muestra el estado de la tabla de NAT y las escalas de las sesiones.

Buenas prácticas y recomendaciones

Para evitar el agotamiento de puertos NAT en el futuro, considere implementar las siguientes buenas prácticas:

Revise y optimice regularmente la configuración de NAT.
Monitoree el uso de sesiones y ajuste las políticas de firewall según sea necesario.
Considere la posibilidad de habilitar la sincronización HA para mantener la disponibilidad de las sesiones en la red.

Notas adicionales

Es fundamental mantenerse actualizado con las últimas versiones de firmware de FortiGate, ya que pueden incluir mejoras en la gestión de NAT y el rendimiento general del dispositivo.

¿Te ha resultado útil??

0 / 0

Mila y César

Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.

¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!

Deja una respuesta 0

Otras preguntas sobre <a href="https://todoforti.net/fortigate/">FortiGate</a>

Cómo resolver el conflicto de caché con el gateway DDNS en Fortinet IKE
El presente artículo aborda el problema de conflicto de caché con el error ‘Cache conflict with DDNS gateway <duplicated tunnel-name>’ al intentar establecer túneles IPsec Site-to-Site (S2S). Este error es relevante ya que impide la correcta creación de túneles, afectando la comunicación entre ubicaciones remotas. Aquí se proporcionan pasos claros para diagnosticar y resolver este Leer
Configuración de reenvío de puertos de IP virtual (VIP) – Port forwarding
Descripción Este artículo describe cómo configurar el reenvío de puertos según la siguiente topología. Solución De Gui. 1) Para crear un objeto VIP, vaya a Política y objetos -> IP virtuales y seleccione ‘Crear nuevo’. En el ejemplo anterior, 1.1.1.1 es una IP de WAN externa y 10.0.0.10 es una IP de servidor interno Leer
Cómo resolver el uso de la interfaz de destino como ‘any’ en la política de multicast en FortiGate como reenvío de multicast
En este artículo, abordamos cómo configurar correctamente las políticas de multicast en un dispositivo FortiGate que actúa como un reenvío de multicast. Este tema es crucial, ya que una mala configuración puede resultar en problemas de rendimiento y en la incapacidad de distribuir efectivamente el tráfico multicast a los clientes. Aquí aprenderá a diagnosticar y Leer
Cómo resolver problemas con la actualización dinámica de DNS en FortiGate en modo Proxy
Este artículo aborda un problema relacionado con cómo FortiGate maneja los paquetes de actualización dinámica de DNS en modo proxy. Este tema es crítico ya que los paquetes de actualización dinámica de DNS son esenciales para mantener la precisión de los registros DNS en el servidor. El artículo examina el problema, su alcance y ofrece Leer
Cómo resolver el orden de inspección de los perfiles UTM/Security en el flujo de paquetes en Fortinet
El siguiente artículo aborda la gestión de paquetes en dispositivos FortiGate, centrándose en el orden de los filtros de UTM aplicados a los paquetes según el modo de inspección configurado en la política de firewall correspondiente. Comprender este tema es crucial para asegurar una adecuada protección de la red y maximizar la eficiencia de la Leer

Cómo resolver el error ‘NAT port is exhausted’ en Fortinet al usar puertos NAT constantemente