Descripción
Este artículo explica cómo configurar las rutas de política.
En algunas implementaciones de FortiGate, puede ser necesario tener cierto tipo o fuente de tráfico filtrado a través de una conexión de red diferente. En otras palabras, a veces será necesario enviar un protocolo o IP específico a un destino que no sea la puerta de enlace o la ruta predeterminada.
Los pasos que siguen muestran cómo se hace esto usando la GUI con un ejemplo básico.
El siguiente ejemplo muestra cómo el tráfico del puerto TCP 80 que llega al puerto 1, y desde la subred 192.168.1.0/24, se enviará al puerto 6 y la puerta de enlace 10.10.10.1
. Solución
Para obtener la opción Rutas de políticas en la GUI, primero habilite la Enrutamiento avanzado en la visibilidad de la función siguiendo los pasos a continuación:
Vaya a:Firewall GUI -> Sistema -> Visibilidad de características
Habilite el enrutamiento avanzado, luego haga clic en ‘Aplicar’.
Una vez que la ruta de la política está habilitada en la visibilidad de la función, debería ser posible obtenerla en la ruta a continuación.Vaya a: Firewall GUI -> Red -> Rutas de política -> Nueva política de enrutamiento.
Configúrelo siguiendo los pasos a continuación para reenviar el tráfico a través de un puerto específico anulando la tabla de enrutamiento.1) Seleccione ‘Crear nuevo’.
2) Protocolo: seleccione entre las opciones existentes o especifique el número de protocolo para que coincida.El número de protocolo de Internet se encuentra en el encabezado del paquete IP. RFC 5237 describe los números de protocolo y una lista de los números de protocolo asignados está disponible aquí. El rango es de 0 a 255. Un valor de 0 desactiva la función. (Los números de protocolo
comúnmente utilizados incluyen 6 para sesiones TCP, 17 para sesiones UDP, 1 para sesiones ICMP, 47 para sesiones GRE y 92 para sesiones de multidifusión) . escriba la dirección de origen y la máscara de red para que coincidan. Un valor de 0.0.0.0/0.0.0.0 desactiva la función.4) Dirección/máscara de destino: para realizar una política de enrutamiento en función de la dirección IP de destino del paquete, escriba la dirección de destino y la máscara de red para que coincidan. Un valor de 0.0.0.0/0.0.0.0 desactiva la función.
5) Tipo de servicio: use un patrón de bits hexadecimales de dos dígitos para hacer coincidir el servicio, o use una máscara de bits hexadecimales de dos dígitos para enmascarar. Para obtener más información, consulte Tipo de servicio .
6) Establecer acción: seleccione la Acción de la ruta de la política, ya sea «Reenviar» o «Detener el enrutamiento de la política», según el requisito. Si se selecciona «Detener política de enrutamiento», se verificará la tabla de enrutamiento del dispositivo FortiGate.
7) Interfaz saliente: seleccione el nombre de la interfaz a través de la cual se enrutarán los paquetes afectados por la política.
8) Dirección de puerta de enlace: escriba la dirección IP del enrutador de siguiente salto al que la unidad FortiGate puede acceder a través de la interfaz especificada.
9) Seleccione ‘Estado’ – Habilitado.
10) Luego seleccione ‘OK’ para guardar y aplicar la configuración.
Configuración CLI.Para configurar rutas de política mediante la CLI:
FGT# config router policy
FGT (política) # edit 1set input-device <—– Nombre de interfaz entrante.
set input-device-negate <—– Habilitar/deshabilitar la negación de la coincidencia del dispositivo de entrada.
set src <—– IP de origen y máscara (xxxx/x).
set srcaddr <—– Nombre de la dirección de origen.
set src-negate <—– Habilitar/deshabilitar la negación de la coincidencia de la dirección de origen.
set dst <—– IP de destino y máscara (xxxx/x).
set dstaddr <—– Nombre de la dirección de destino.
establecer dst-negar<—– Habilitar/deshabilitar la negación de la coincidencia de dirección de destino.
set action <—– Acción de la ruta de política.
establecer protocolo <—– Número de protocolo (0 – 255).
establecer puerta de enlace <—– dirección IP de la puerta de enlace.
establecer dispositivo de salida <—– Nombre de interfaz saliente.
set tos <—– Tipo de patrón de bits de servicio.
set tos-mask <—– Tipo de servicio evaluado bits.
establecer estado <—– Habilitar/deshabilitar esta ruta de política.
establecer comentarios <—– Comentarios opcionales.
establecer Internet-service-id <—– ID de servicio de Internet de destino.
establecer Internet-servicio-personalizado<—– Nombre del servicio de Internet de destino personalizado.
next
endLas rutas de política se ejecutan en orden (similar a las políticas de firewall), por lo que las políticas más específicas deben colocarse en la parte superior y las más generales cerca de la parte inferior.
Las rutas de política tendrán prioridad sobre cualquier otra ruta en la tabla de enrutamiento. FortiGate primero verificará las rutas de políticas regulares antes de llegar a las rutas de políticas SD-WAN (si las hay) y luego la tabla de enrutamiento.
Verificación de la Configuración y solución de problemas.
Por ejemplo, genere algo de tráfico de prueba desde la ip / subred de origen configurada y verifique los registros de tráfico para la interfaz saliente.# diagnose la lista de rutas del cortafuegos
Documentos relacionados.
https://docs.fortinet.com/document/fortigate/6.0.0/handbook/34912/policy-routing
https://docs.fortinet.com/document/fortigate/6.4.2/administration-guide/144044/policy -rutas
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!