Descripción
Este artículo describe el comportamiento del conjunto de direcciones IP.
Solution
IP Pools es un mecanismo que permite que las sesiones que salen de FortiGate Firewall usen NAT.
Un conjunto de direcciones IP define una sola dirección IP o un rango de direcciones IP que se utilizará como dirección de origen durante la duración de la sesión.
Estas direcciones asignadas se utilizarán en lugar de la dirección IP asignada a esa interfaz de FortiGate.
Los grupos de IP una vez configurados, incluso si nunca se usaron explícitamente como política de firewall, FortiGate asumió la dirección de los grupos de IP configurados como dirección local y no reenviará el tráfico de acuerdo con la tabla de enrutamiento.
A diferencia del objeto de dirección de firewall, eso solo tendrá efecto cuando se seleccione explícitamente en la política de firewall.
En el caso de que la IP del dispositivo de siguiente salto, o la IP de destino permitida por la política de firewall, esté configurada por error como IP Pool, el tráfico terminará en FortiGate.
id=20085 trace_id=381 func=print_pkt_detail line=5375 msg=»vd-root recibió un paquete (proto=6, 10.116.1.177:60192->52.52.208.2:443) del puerto 2. flag [S], seq 3608362859, ack 0, gana 65340″
id=20085 trace_id=381 func=init_ip_session_common line=5534 msg=»asignar una nueva sesión-00056c55″
id=20085 trace_id=381 func=vf_ip_route_input_common line=2574 msg=»buscar una ruta: flag=04000000 gw-10.47.3.254 a través del puerto 1″
id=20085 trace_id=381 func=fw_forward_handler line=743 msg=»Permitido por la política 1: SNAT»
id=20085 trace_id=381 func=__ip_session_run_tuple line=3282 msg=»SNAT 10.116.1.177 ->10.47.1.85:60192″
El fragmento del flujo de depuración anterior muestra que el host 10.116.1.177 intentaba acceder a 52.52.208.2 en el puerto 443.
El firewall policyid#1 ha permitido el acceso y el host 10.116.1.177 se traduce a la interfaz de salida IP 10.47.1.85.
Cuando 52.52.208.2 se configura como IP Pool y no se usa en ninguna política de firewall
Alza-kvm55 (raíz) # diag firewall iplist list
list iplist info:(vf=root)
una entrada de IPlist:
dev=0 devname= type=1 used=1 ip range=52.52.208.2-52.52.208.2
El acceso a 52.52.208.2 se cancelará en FortiGate.
id=20085 trace_id=581 func=print_pkt_detail line=5375 msg=»vd-root recibió un paquete (proto=6, 10.116.1.177:60325->52.52.208.2:443) del puerto 2. flag [S], seq 1295495056, ack 0, gana 65340″
id=20085 trace_id=581 func=init_ip_session_common line=5534 msg=»asignar una nueva sesión-0005737a»
id=20085 trace_id=581 func=vf_ip_route_input_common line=2574 msg=»buscar una ruta: flag=80000000 gw-52.52.208.2 vía root»
id=20085 trace_id=581 func=fw_local_in_handler line=402 msg=»iprope_in_check() falló la verificación en la política 0, descartar»
Para evitar que FortiGate elimine cualquier IP de destino de forma falsamente positiva, cualquier grupo de IP no utilizado debe eliminarse de la configuración de FortiGate.
La mayoría de las veces, las direcciones del grupo de IP se encuentran dentro de la misma subred de la IP de la interfaz de FortiGate.
Si las direcciones del grupo de IP y la IP de la interfaz de FortiGate son de un rango de subred diferente, entonces la unidad del siguiente salto debe poder redirigir las direcciones del grupo de IP de regreso a FortiGate.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!