En este artículo, abordaremos un problema común relacionado con los puertos bloqueados en un servidor interno, lo que puede afectar la funcionalidad de los servicios que dependen de estos puertos. Resolver este problema es crítico para garantizar el acceso adecuado a los servicios y la comunicación efectiva dentro de su infraestructura de red. A lo largo del artículo, proporcionaremos un diagnóstico paso a paso y medidas recomendadas que le ayudarán a solucionar esta situación con su dispositivo FortiGate.
Índice
Descripción del problema
Al utilizar un verificador de puertos en línea, el puerto correspondiente a los servicios de un servidor interno aparece como bloqueado. Esto puede causar problemas de conectividad y acceso a aplicaciones críticas.
Alcance
Este artículo aplica a los dispositivos FortiGate que ejecutan versiones v7.0.11 y superiores, así como v7.2.1 y posteriores.
Diagnóstico paso a paso
Para diagnosticar el problema de puertos bloqueados, siga estos pasos:
- Verifique que el VIP (Dirección IP Virtual) esté correctamente configurado para apuntar hacia el servidor interno.
- Asegúrese de que los servicios permitidos en la política del firewall para el VIP estén configurados correctamente.
- Verifique que el puerto del servidor interno esté configurado como abierto. (Es importante mencionar que este paso no se configura en FortiGate, sino en el propio servidor interno).
- Acceda al sitio web del servidor interno a través de la IP pública; debería mostrarse correctamente.
Solución recomendada
Un ejemplo del problema sería el siguiente:
En este ejemplo, 111.111.111.111 es una IP WAN externa y 10.10.10.10 es una IP del servidor interno mapeada.
- Visite https://portchecker.co/check-v0 (las direcciones IP en este ejemplo son ficticias).
- Utilice los siguientes comandos CLI:
config firewall vip (Verifique que el VIP esté configurado correctamente)
edit «SQL»
set extip 111.111.111.111
set extintf «port3»
set portforward enable
set mappedip 10.10.10.10
set extport 3306
set mappedport 3306
next
config firewall policy (Verifique que la política del firewall esté establecida correctamente)
edit 1
set srcintf «port3»
set dstintf «port4»
set srcaddr «all»
set dstaddr «SQL»
set action accept
set schedule «always»
set service «ALL»
set nat enable
next
end
- Asegúrese de que el puerto del servidor interno esté configurado como abierto:
#Permitir puertos TCP entrantes
TCP_IN = “20,21,80,443,3306”
- Visite 111.111.111.111 y debería visualizar la página en funcionamiento, como el puerto no está bloqueado por el servidor interno.
Comandos CLI utilizados
A continuación, se detallan los comandos CLI utilizados en el proceso de diagnóstico y corrección:
- config firewall vip: Se utiliza para configurar la IP virtual y el puerto mapeado.
- config firewall policy: Se utiliza para establecer las políticas del firewall que permiten el tráfico apropiado.
Buenas prácticas y recomendaciones
Para evitar problemas similares en el futuro, se recomienda lo siguiente:
- Realizar auditorías periódicas de las configuraciones de red y firewall.
- Mantener actualizada la documentación de la configuración de los servidores internos.
- Utilizar herramientas de monitoreo para detectar accesos no autorizados o puertos bloqueados.
Notas adicionales
No olvide que el entorno y las configuraciones pueden variar; adapte las recomendaciones según su infraestructura específica y siempre realice copias de seguridad antes de realizar cambios significativos en la configuración.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!