Descripción
Este artículo describe el uso del comodín FQDN.
Enlace relacionado:
https://docs.fortinet.com/document/fortigate/6.2.0/new-features/329154/support-for-wildcard-fqdn-add…
Solución Se ha mejorado
la compatibilidad con direcciones FQDN comodín en la política de firewall. incluido en FortiOS 6.2.2.
Se puede configurar un FQDN comodín desde la GUI o la CLI.
Desde la interfaz gráfica de usuario.
Vaya a Política y objetos -> Direcciones -> Nueva dirección.
En la siguiente captura de pantalla, *.fortinet.com se usa como comodín FQDN.
# configurar la dirección del cortafuegos
editar «fortinet-fqdn»
establecer uuid 96c22534-8a3b-51ea-ad68-98a463172306
establecer tipo fqdn
establecer fqdn «*.fortinet.com»
siguiente
fin
Se debe definir una política de firewall para usar FQDN comodín.
# configurar la política de cortafuegos
editar 8
establecer el nombre «fqdn-policy»
establecer srcintf «port9»
establecer dstintf «port1»
establecer srcaddr «todos»
establecer dstaddr «fortinet-fqdn»
establecer acción aceptar
establecer programación «siempre»
establecer servicio «TODOS»
establecer nat habilitar
el siguiente
final
Cuando se haya configurado el FQDN comodín, se mostrará como FQDN no resuelto en la lista de direcciones del cortafuegos.
El comodín FQDN se actualiza cuando se realiza una consulta de DNS desde un host conectado a FortiGate (tráfico de DNS que pasa a través de FortiGate).
#diagnostique la lista de fqdn del cortafuegos | grep fortinet*.fortinet.com: ID(48)
Tenga en cuenta que todas las direcciones IP se asignan a ese objeto FQDN comodín por tiempo ilimitado de manera predeterminada.
# diagnose la lista de fqdn del cortafuegos | grep fortinet*.fortinet.com: ID(48) DIRECCIÓN(208.91.113.75) DIRECCIÓN(208.91.113.80) DIRECCIÓN(208.91.113.85) DIRECCIÓN(34.228.249.126) DIRECCIÓN(34.226.137.150) DIRECCIÓN(96.45.36.159)
# configurar la dirección del cortafuegos
editar «wildcard.google.com»
establecer tipo fqdn
establecer fqdn «*.google.com»
establecer caché-ttl 86400 < —–
siguiente
final
A veces sucede que una nueva consulta de DNS reemplazará las entradas existentes aprendidas de FortiGate.
Considere el siguiente ejemplo:
# diagnose la aplicación de prueba dnsproxy 6
vfid=0 name=*.google.com ver=IPv4 min_ttl=37:0, cache_ttl=0 , slot=-1, num=4, wildcard=1
172.217.1.164 (ttl=94:0 :0) 172.217.164.205 (ttl=114:0:0) 172.217.1.14 (ttl=106:0:0) 172.217.164.238 (ttl=37:0:0)
Hacer nslookup para mail.google.com reemplazó las 4 entradas anteriores.
nslookup mail.google.com
> mail.google.com
Servidor: dns.google
Dirección: 8.8.8.8 Respuestano autorizada:
Nombre: googlemail.l.google.com
Direcciones: 2607:f8b0:400b:809::2005
172.217. 165.5 Alias
: mail.google.com# diagnose aplicación de prueba dnsproxy 6
vfid=0 name=*.google.com ver=IPv4 min_ttl=41:0, cache_ttl=0 , slot=-1, num=2, comodín=1
172.217 .1.174 (ttl=255:0:0) 172.217.165.5 (ttl=263:221:221)
Luego, se reemplaza nslookup drive.google.com- IP 172.217.1.174.
> drive.google.com
Servidor: dns.google
Dirección: 8.8.8.8 Respuestano autorizada:
Nombre: drive.google.com
Direcciones: 2607:f8b0:400b:800::200e
172.217.164.206# diagnose aplicación de prueba dnsproxy 6
vfid =0 name=*.google.com ver=IPv4 min_ttl=110:0, cache_ttl=0 , slot=-1, num=2, wildcard=1
172.217.165.5 (ttl=263:85:85) 172.217.164.206 ( ttl=299:275:275)
Las direcciones IP se reemplazan porque ya han caducado.
ttl = 106:0:0 son originales TTL: tiempo de caducidad en TTL: tiempo de caducidad en caché
Los dos últimos son iguales si el caché-ttl no está configurado en la dirección.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!