Configuration du routage des stratégies dans Fortigate

8

J'ai un scénario où un pare-feu Fortigate est utilisé pour séparer les réseaux internes d'Internet (FortiOS version 4.0 MR3 patch 11). À l'heure actuelle, une seule connexion Internet est connectée au pare-feu et une route statique par défaut est utilisée pour y faire passer tout le trafic Internet. Je souhaite connecter une deuxième connexion Internet au pare-feu, puis acheminer uniquement un certain trafic à travers celui-ci, par exemple du trafic de navigation Web.

Pour cette configuration, je conserve la route statique par défaut actuelle via le premier lien, puis je configure les options de routage de stratégie afin d'acheminer le trafic avec le port de destination TCP / 80 et TCP / 443 via le deuxième lien Internet. Comme prévu, le routage de stratégie est évalué avant la table de routage et tout le trafic destiné à TCP / 80 et TCP / 443 est envoyé via le deuxième lien, y compris le trafic entre les sous-réseaux directement connectés à la Fortigate, ce qui rompt la communication entre eux.

Dans un environnement Cisco, j'ajusterais la liste de contrôle d'accès utilisée pour faire correspondre le trafic au routage des politiques, en refusant le trafic entre les réseaux internes au début de la liste de contrôle d'accès et en ajoutant une instruction "autoriser tout" à la fin. Cependant, je ne trouve pas le moyen d'ordonner au Fortigate de travailler de manière similaire.

Savez-vous comment faire fonctionner ce scénario avec Fortigate?

Daniel Yuste Aroca
la source

Réponses:

4

Étant donné que les itinéraires de stratégie sont évalués de haut en bas, vous pouvez contourner cette limite en plaçant une entrée plus spécifique correspondant au trafic du sous-réseau interne A au sous-réseau interne B.

Cependant, cela devrait être moins confortable si vous avez de nombreux réseaux différents connectés à votre interface interne.

Dans ce cas, je vous recommanderais une astuce que j'ai utilisée une fois: puisque les appareils Fortigate ignorent les marques de QoS, vous devez signer vos paquets "Internet" sur le port face au pare-feu de votre commutateur Cisco avec un TOS spécifique, puis utiliser cette marque dans votre route politique.

Marco Marzetti
la source
7

Du blog de Network Labs :

"Dans le cas d'un pare-feu Fortinet, sa version Policy Route:
CLI:

config router policy
    edit 1
        set input-device "port4"
        set src 172.18.0.0 255.255.0.0
        set dst 192.168.3.0 255.255.255.0
        set protocol 6
        set start-port 443
        set end-port 443
        set gateway 1.1.1.1
        set output-device "port3"
    next
end

Pour la version GUI, consultez le blog ci-dessus. Impossible de publier des images avant d'avoir 10 points de répétition. : - /

sigwo
la source
L'une des conditions de correspondance pour cet exemple est que l'adresse source tombe dans 172.18.0.0/16 et l'adresse de destination dans 192.168.3.0/24. Je me demande comment configurer "l'adresse source tombe en 172.18.0.0/16 et l'adresse de destination tombe en n'importe quel sous-réseau sauf 192.168.3.0/24"
Daniel Yuste Aroca
Créez une ACL qui refuse la source 172.18.0.0/16 à la destination 192.168.3.0/24. Ensuite, l'instruction ci-dessus vous changerait la destination où vous voulez que 443 aille.
sigwo
AFAIK, les ACL sont évalués avant les PBR. Ainsi, l'ACL refuserait le trafic, puis le PBR se chargerait d'acheminer le trafic 443 vers votre interface / route souhaitée.
sigwo