Este artículo aborda un aspecto crítico de la configuración de FortiGate: el orden de ejecución de las IPs virtuales (VIP) para el reenvío de puertos. La correcta gestión de este orden es vital para garantizar que el tráfico se dirija al recurso adecuado en la red, evitando conflictos o pérdidas de conexión. Aquí exploraremos cómo manejar eficientemente el orden de las VIP y resolver problemas asociados a su configuración.
Índice
Descripción del problema
En FortiGate, el reenvío de puertos de las VIP se evalúa de arriba hacia abajo en la lista de políticas de firewall, lo que significa que el orden de las VIP es fundamental. Si una VIP se aplica a más de una política de firewall, solo se verificará si se aplica en al menos una de ellas. Esto puede provocar que las políticas no se comporten como se espera si no se gestiona correctamente el orden de ejecución.
Alcance
Este artículo se aplica a dispositivos FortiGate que utilizan VIP para la configuración de reenvío de puertos.
Diagnóstico paso a paso
Para diagnosticar problemas con el reenvío de puertos basados en VIP, se deben seguir estos pasos:
- Acceder a la configuración de políticas de firewall en la interfaz de FortiGate.
- Verificar el orden de las VIP; necesita ser revisado para asegurar que el tráfico se dirija correctamente.
- Probar la conectividad mediante herramientas como ping o telnet sobre los puertos configurados.
Solución recomendada
El proceso para modificar el orden de las VIP se realiza exclusivamente a través de la interfaz de línea de comandos (CLI). La imagen a continuación ilustra cómo cambiar el orden de las VIP, utilizando un comando específico.

Después de usar el comando, se puede observar un cambio exitoso en el orden tanto en la CLI como en la GUI.

Comandos CLI utilizados
A continuación, se presentan los comandos utilizados para ejecutar las configuraciones necesarias en FortiGate:
config firewall vip
edit "Nombre_de_la_VIP"
move "Nombre_del_Servidor_Virtual" antes de "Nombre_de_la_VIP"
end
Utilizar el comando «move» permite cambiar la posición de las VIP dentro de la lista de políticas. Sin embargo, es necesario asegurarse de que no haya conflictos con otras configuraciones existentes.
Buenas prácticas y recomendaciones
- Siempre verifique el orden de las VIP después de realizar cambios para asegurarse de que refleje la intención de configuración.
- Documente todos los cambios realizados en la configuración de VIPs para un seguimiento efectivo.
- Pruebe la conectividad después de cualquier modificación para verificar que el tráfico fluya correctamente.
Notas adicionales
En versiones de firmware anteriores a v7.0, era posible, aunque no recomendado, tener direcciones IP virtuales superpuestas. En estos casos, el reordenamiento de VIPs utilizando el comando «move» no puede llevarse a cabo si NAT central está deshabilitado. Así que se debe tener cuidado al gestionar las configuraciones en firmware más antiguos.
Ejemplo de error al intentar mover una VIP cuando NAT central está deshabilitado:
VAN_DNAT # move "Servidor Virtual" antes de "Lpk2"
VIP entry cannot be moved when central-nat is disabled.
Command fail. Return code -651
En estos casos, es necesario eliminar las VIP del firewall y volver a configurarlas en el orden deseado.
¿Te ha resultado útil??
0 / 0

Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!