Cómo solucionar el problema de carga de contenido en Fortinet cuando la página de inicio se carga pero no el resto del sitio

En este artículo abordamos un problema frecuente en entornos de red que utilizan FortiGate: los usuarios pueden acceder a un sitio web, pero algunos contenidos o redirecciones de página no se cargan correctamente. Este problema es crítico, ya que la funcionalidad incompleta puede afectar la experiencia del usuario y la presentación de contenidos. Aquí aprenderás cómo diagnosticar y resolver estos inconvenientes mediante configuraciones adecuadas de políticas de firewall y objetos de dirección.

Descripción del problema

Los usuarios informan que, a pesar de que la página web se carga, ciertos contenidos no se visualizan correctamente o están dañados, lo que puede llevar a una experiencia deficiente. Esto suele ocurrir en sitios que requieren que se permita el tráfico a direcciones IP que no se resuelven a un nombre de dominio específico, en este caso, nhl.com.

Alcance

Este artículo se centra en la configuración de FortiGate utilizando FortiOS para resolver problemas específicos de acceso a páginas web y contenidos asociados.

Diagnóstico paso a paso

Para identificar la raíz del problema, es recomendable revisar las políticas de firewall existentes y los registros de tráfico. Aquí un ejemplo de configuración básica que permite el tráfico hacia nhl.com:

config firewall policy
edit 1
set name "int"
set srcintf "lan"
set dstintf "wan"
set action accept
set srcaddr "all"
set dstaddr "NHL"
set schedule "always"
set service "ALL"
set logtraffic all
set nat enable
next
end

Es fundamental revisar los registros de tráfico para verificar que se permite el tráfico hacia nhl.com.

Solución recomendada

Para solucionar el problema de carga de contenidos, es necesario crear objetos de dirección adicionales para las direcciones que están siendo denegadas. Esto permite que el tráfico hacia esas direcciones sea aceptado.

config firewall address
edit "cookielaw"
set type fqdn
set fqdn "*.cookielaw.org"
next
edit "doubleclick.net"
set type fqdn
set fqdn "*.doubleclick.net"
next
edit "NHLE"
set type fqdn
set fqdn "nhle.com"
next
edit "googleapis"
set type fqdn
set fqdn "*.googleapis.com"
next
edit "googletagmanager"
set type fqdn
set fqdn "*.googletagmanager.com"
next
end

Además, se deben agregar las direcciones necesarias para cargar el contenido faltante.

config firewall policy
edit 1
set name "int"
set srcintf "lan"
set dstintf "wan"
set action accept
set srcaddr "all"
set dstaddr "NHL" "NHLE" "googleapis" "doubleclick.net" "cookielaw"
set schedule "always"
set service "ALL"
set logtraffic all
set nat enable
next
end

Comandos CLI utilizados

Los comandos CLI presentados anteriormente se utilizan para configurar adecuadamente las políticas de firewall y los objetos de dirección en tu dispositivo FortiGate. Es esencial conocer cada comando para comprender su función específica:

• config firewall policy: Comando utilizado para acceder a la configuración de políticas de firewall.
• set action accept: Permite el tráfico en la política asociada.
• set dstaddr: Define las direcciones de destino específicas que se permitirán.

Buenas prácticas y recomendaciones

Es recomendable evitar configuraciones que requieran añadir manualmente muchas direcciones FQDN, especialmente en entornos donde se utilizan redes de entrega de contenido (CDNs). En su lugar, considera implementar perfiles de seguridad de filtrado web que controlen el acceso según categorías en lugar de direcciones FQDN específicas.

Para más información sobre perfiles de filtrado web, consulta la documentación oficial de Fortinet: Web filter.

Notas adicionales

Este tipo de configuración no es escalable para la mayoría de los proveedores de servicios web, ya que suelen depender de redes de entrega de contenido. Mantener flexibilidad en la configuración del firewall facilitará el acceso a contenido dinámico y mejorará la experiencia del usuario.