Cómo solucionar el problema de tráfico bloqueado por la política 0 en Fortinet para un VIP

En este artículo, abordaremos un problema común relacionado con la configuración de direcciones IP virtuales (VIP) en FortiGate. Este problema ocurre cuando el tráfico no coincide con la política del cortafuegos configurada para el VIP, o incluso cuando coincide, pero los registros de tráfico muestran que este ha sido bloqueado por la política implícita 0, que es una denegación por defecto. Entender esta problemática es crucial para garantizar que el tráfico esperado hacia los servidores internos se gestione correctamente, evitando interrupciones en el servicio.

Descripción del problema

El uso de direcciones IP virtuales (VIP) es común en implementaciones donde el tráfico entrante desde Internet debe llegar a un servidor interno que tiene una dirección IP privada no enrutable. Esta configuración, también conocida como DNAT (Network Address Translation), permite que el tráfico externo se traduzca para alcanzar los recursos internos. Sin embargo, la configuración incorrecta de las políticas de firewall puede resultar en bloqueos inesperados.

Alcance

Este artículo se aplica a dispositivos FortiGate con configuraciones de VIP y a sistemas operativos FortiOS.

Diagnóstico paso a paso

Para diagnosticar un posible problema de desajuste en la política firewall, se deben considerar las siguientes configuraciones:

Un caso que causa un problema de desajuste en la política es especificar un filtro de dirección IP de origen en la configuración del VIP. Si esta dirección IP cambia con el tiempo, o si se requieren otras direcciones IP para acceder al mismo destino, se presentarán problemas de coincidencia de políticas.

Ejemplo de configuración VIP

Ejemplo de configuración en la línea de comandos (CLI):

config firewall vip
edit <nombre_vip>
set src-filter <ip_origen> <—

Otro escenario se presenta cuando se utiliza un VIP donde el puerto externo será traducido a un número de puerto diferente, conocido como reenvío de puertos (Port Forwarding), mientras que la política del cortafuegos está configurada para aceptar tráfico solo desde el puerto externo.

Aquí está un ejemplo visual de la configuración de VIP:

Configuración en CLI

Configuración de la política del cortafuegos:

config firewall policy
edit 5
set name «vip_policy»
set srcintf «lan»
set dstintf «a»
set action accept
set srcaddr «all»
set dstaddr «vip5443»
set schedule «always»
set service «5443»
set logtraffic all
next
end

A continuación, la configuración específica del VIP:

config firewall vip
edit «vip5443»
set extip 10.26.10.1
set mappedip «10.254.1.10»
set extintf «any»
set portforward enable
set extport 5443
set mappedport 443
next
end

Solución recomendada

Para resolver el problema descrito, la solución es eliminar el reenvío de puertos de la configuración del VIP o modificar la política del cortafuegos para permitir TODOS los servicios. Esto asegurará que el tráfico adecuado coincida con políticas que permiten su paso.

Comandos CLI utilizados

Estos son los comandos útiles para el diagnóstico y la configuración:

diagnose debug flow filter addr 10.26.10.2

diagnose debug flow filter port 5443

diagnose debug flow show function-name enable

diagnose debug enable

diagnose debug flow trace start 10

Buenas prácticas y recomendaciones

Adicionalmente, asegúrese de que las políticas de firewall se alineen correctamente con las configuraciones de VIP. Evite la especificación exacta de filtros de direcciones IP de origen que pueden cambiar o requerir múltiples entradas a lo largo del tiempo. La configuración debe ser lo suficientemente flexible para permitir dicho tráfico sin desajustes inesperados.

Notas adicionales

Para una explicación más detallada sobre el comportamiento de VIP y IP Pool en FortiOS, se puede consultar el siguiente artículo: Technical Tip: cambios en el comportamiento de IP pool y direcciones IP virtuales en FortiOS 6.4, 7.0, 7.2 y 7.4.