Hola,
En mi FGT80C (v5.0,build0292 GA Patch 9) tengo varias políticas definidas de la forma habitual,con dirección IP origen - IP destino, puerto específico (no estándar, sino puerto creado por mí, por ejemplo el del data protector TCP rango 18000-18019) y Action Accept. No hay ningún filtro adicional como web filter, AV, IPS, etc.
Últimamente me he dado cuenta que el fortigate me lo bloquea por la regla Deny por defecto, como si no existiese esa política que lo permite. En el log del fortianalyzer aparece bloqueado por la regla por defecto, y efectivamente la conexión está usando el puerto al que en la política le he dado permiso.
Si quito los puertos y le pongo un ALL sí que lo deja pasar.
Esto me pasa en varias políticas.
Alguien sabe qué puede estar ocurriendo?
Gracias y saludos,
Mateu
Fortigate me bloquea tráfico permitido por política
Re: Fortigate me bloquea tráfico permitido por política
hola, podrias mostrar (imagen) el servicio custom que generas para esos puertos???
saludos.
saludos.
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Fortigate me bloquea tráfico permitido por política
Aqui tienes la imagen como adjunto.
Gracias
Gracias
No tiene los permisos requeridos para ver los archivos adjuntos a este mensaje.
Re: Fortigate me bloquea tráfico permitido por política
Hola, no haria falta, pero igual en puerto origen pone de 1 a 65535
18000 a 18019 estas seguro que usa? lo ves en el log?
las policy mostras?
saludos.
18000 a 18019 estas seguro que usa? lo ves en el log?
las policy mostras?
saludos.
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Fortigate me bloquea tráfico permitido por política
Hola,
También he probado poniendo puerto origen 1 a 65535 y sigue haciendo lo mismo.
Y sí, utiliza el puerto 18008 porque lo veo en el log.
Me pasa lo mismo con varias políticas.
También he probado poniendo puerto origen 1 a 65535 y sigue haciendo lo mismo.
Y sí, utiliza el puerto 18008 porque lo veo en el log.
Me pasa lo mismo con varias políticas.
Re: Fortigate me bloquea tráfico permitido por política
hola, podes mostrar las poliicas?
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Fortigate me bloquea tráfico permitido por política
Aqui van las imágenes
No tiene los permisos requeridos para ver los archivos adjuntos a este mensaje.
Re: Fortigate me bloquea tráfico permitido por política
Hola, esas son las 2 unicas politicas?
CELL que es? que IP? es la Ip destino ???
CELL que es? que IP? es la Ip destino ???
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Fortigate me bloquea tráfico permitido por política
Sí, CELL es un servidor, es la IP destino ubicado en interfaz internal1, mientras que el origen se encuentra en interfaz internal2, la regla permite acceso desde internal 2 a internal 1 por IPs y servicio definidos.
Re: Fortigate me bloquea tráfico permitido por política
Buenas! optaria por actualizar a 5.0.11 Build 0310 que salio hace poco, o saltar a la 5.2. Si todavia se repite el mismo comportamiento, habria que analizar que esta pasando realmente haciendo algunas pruebas.
Por ejemplo, algo que se me ocurre los puertos 18000-18019 que mencionas forman parte de algun protocolo que el firewall interpreta como conocido por alguno de sus demonios, me refiero a un session helper. quiza el primer paquete de trafico sea de sip, h323, ftp o algo similar y por eso crea que forman parte de ese protocolo y entre a jugar el session helper.
para saberlo con certeza habria que hacer un debug estimo.
Si el cliente tiene IP 192.168.1.100 y el server 10.10.10.10 tendrias que tirar por CLI lo siguiente:
diagnose debug disable
diagnose debug reset
diagnose debug flow filter saddr 192.168.1.100
diagnose debug flow filter daddr 10.10.10.10
diagnose debug flow show console enable
diagnose debug flow trace start 100
diagnose debug enable
capturas un par de paquetes y deshabilitas el debug nuevamente con diagnose debug disable
pegate el resultado y vemos que puede ser.
Saludos!
y pegas el resulta
Por ejemplo, algo que se me ocurre los puertos 18000-18019 que mencionas forman parte de algun protocolo que el firewall interpreta como conocido por alguno de sus demonios, me refiero a un session helper. quiza el primer paquete de trafico sea de sip, h323, ftp o algo similar y por eso crea que forman parte de ese protocolo y entre a jugar el session helper.
para saberlo con certeza habria que hacer un debug estimo.
Si el cliente tiene IP 192.168.1.100 y el server 10.10.10.10 tendrias que tirar por CLI lo siguiente:
diagnose debug disable
diagnose debug reset
diagnose debug flow filter saddr 192.168.1.100
diagnose debug flow filter daddr 10.10.10.10
diagnose debug flow show console enable
diagnose debug flow trace start 100
diagnose debug enable
capturas un par de paquetes y deshabilitas el debug nuevamente con diagnose debug disable
pegate el resultado y vemos que puede ser.
Saludos!
y pegas el resulta