Problema con fortiguard

Para temas sobre el uso de las politicas de filtrado en los productos FortiGate.

Problema con fortiguard

Notapor bokken » 25 Oct 2011, 16:09

Buenas a todos/as, tengo un problema con la resolucion de los fortiguard services.

Aplico unas reglas de filtrado web, pero no funcionan adecuandamente, paso a relataros mis pruebas:

*Cambiados puertos de origen:
#config sys global
#set ip-src-port-range 1035-25000
#end

*DNS probadas:
8.8.8.8
8.8.4.4
208.67.222.222
208.67.220.220
4.2.2.2
4.2.2.1
80.58.0.33
80.58.61.250
80.58.61.254
194.179.1.100
194.179.1.101
217.76.128.4
Y alguna mas....


*Ping es correcto! pero no resuelve como vereis mas adelante en el debug:
#execute ping service.fortiguard.net

PING guard.fortinet.net (208.91.112.198): 56 data bytes
64 bytes from 208.91.112.198: icmp_seq=0 ttl=40 time=256.3 ms
64 bytes from 208.91.112.198: icmp_seq=1 ttl=40 time=249.6 ms
64 bytes from 208.91.112.198: icmp_seq=2 ttl=40 time=240.8 ms
64 bytes from 208.91.112.198: icmp_seq=3 ttl=40 time=241.6 ms
64 bytes from 208.91.112.198: icmp_seq=4 ttl=40 time=241.8 ms
--- guard.fortinet.net ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max = 240.8/246.0/256.3 ms

*La zona horaria y el NTP es correcto

*No aparecen los servidores ni la licencia que dispongo con el comando, pero en el dashboard si que sale que tengo licencia y estoy registrado y dentro de la fecha:
#didiagnose debug rating
Locale : english
License : Unknown
Expiration : N/A
Hostname : service.fortiguard.net
-=- Server List (Tue Oct 25 16:39:03 2011) -=-
IP Weight RTT Flags TZ Packets Curr Lost Total Lost
None


*Otro comando:
#get system fortiguard

hostname : service.fortiguard.net
srv-ovrd : disable
port : 8888
client-override-status: disable
service-account-id : (null)
load-balance-servers: 1
analysis-service : enable
antispam-force-off : disable
antispam-cache : disable
antispam-cache-ttl : 1800
antispam-cache-mpercent: 2
antispam-license : Unknown
antispam-expiration : N/A
antispam-timeout : 7
avquery-force-off : disable
avquery-cache : enable
avquery-cache-ttl : 1800
avquery-cache-mpercent: 2
avquery-license : Unknown
avquery-expiration : N/A
avquery-timeout : 7
webfilter-force-off : disable
webfilter-cache : disable
webfilter-cache-ttl : 3600
webfilter-license : Unknown
webfilter-expiration: N/A
webfilter-timeout : 15
antispam-score-threshold: 80


*Cambiado el puerto por defecto del 53 al 8888 y desactivado el webfilter & antispam cache:

#show system fortiguard
config system fortiguard
set port 8888
set antispam-cache disable
set webfilter-cache disable
end

*Debug de los fortiguard services:

# diagnose debug enable
# diagnose debug application urlfilter 1

id=12552 vd="root" hostname="service.fortiguard.net" error="unable to resolve hostname" msg="gethostbyname() failed."
id=12552 vd="root" hostname="service.fortiguard.net" error="unable to resolve hostname" msg="gethostbyname() failed."
id=12552 vd="root" hostname="service.fortiguard.net" error="unable to resolve hostname" msg="gethostbyname() failed."
msg="Policy allows URLs when a rating error occurs" user="N/A" src=192.168.2.11 sport=1153 dst=74.125.127.120 dport=80 service="http" hostname="csi.gstatic.com" status=passthrough error="failed to resolve FortiGuard hostname" url="/csi?v=2&s=youtube&action=results&e=900034,901027,916201&li=0&addomain=ad-emea.doubleclick.net&rt=resultscss.16,resultsjs.181,ct.181,tn1.512,tn_c4.627,tn5.545,tn10.561,tn20.627,ol.1420,aft.1420"
msg="Policy allows URLs when a rating error occurs" user="N/A" src=192.168.2.235 sport=1123 dst=99.192.248.7 dport=80 service="http" hostname="www.elcomercio.com" status=passthrough error="failed to resolve FortiGuard hostname" url="/rss/titulares.xml"
msg="Policy allows URLs when a rating error occurs" user="N/A" src=192.168.2.235 sport=1125 dst=50.56.5.48 dport=80 service="http" hostname="www.el-nacional.com" status=passthrough error="failed to resolve FortiGuard hostname" url="/www/site/rss.php?q=todo/1"
msg="Policy allows URLs when a rating error occurs" user="N/A" src=192.168.2.70 sport=2438 dst=209.85.229.104 dport=80 service="http" hostname="www.google.es" status=passthrough error="failed to resolve FortiGuard hostname" url="/url?sa=t&rct=j&q=por ley en empresa privada cuanto se puede reducir sueldo&source=web&cd=1&ved=0CCUQFjAA&url=http://www.elblogsalmon.com/economia-domestica/pueden-las-empresas-bajar-el-sueldo-a-sus-trabajadores&ei=hsimTvjdIYzG8QPFtvTJDw&usg=AFQjCNGjxs24Io-gC9tmrny_6dPCLetJkQ"
msg="Policy allows URLs when a rating error occurs" user="N/A" src=192.168.2.235 sport=1125 dst=50.56.5.48 dport=80 service="http" hostname="www.el-nacional.com" status=passthrough error="failed to resolve FortiGuard hostname" url="/"
msg="Policy allows URLs when a rating error occurs" user="N/A" src=192.168.2.70 sport=2448 dst=94.127.72.120 dport=80 service="http" hostname="www.elblogsalmon.com" status=passthrough error="failed to resolve FortiGuard hostname" url="/economia-domestica/pueden-las-empresas-bajar-el-sueldo-a-sus-trabajadores"
msg="Policy allows URLs when a rating error occurs" user="N/A" src=192.168.2.70 sport=2458 dst=209.85.229.147 dport=80 service="http" hostname="api.recaptcha.net" status=passthrough error="failed to resolve FortiGuard hostname" url="/challenge?k=6LcGowEAAAAAACNOcDHUu0PyDxoWvL2lYIJXGPUo"
msg="Policy allows URLs when a rating error occurs" user="N/A" src=192.168.2.235 sport=1129 dst=65.54.89.39 dport=80 service="http" hostname="edge3.catalog.video.msn.com" status=passthrough error="failed to resolve FortiGuard hostname" url="/videoByMarket.aspx?mk=es-us&sf=ActiveStartDate&vs=0&sd=-1&ind=&ps=&rct=&ff=8a&responseEncoding=rss&title=MSN Video: Principal"
msg="Policy allows URLs when a rating error occurs" user="N/A" src=192.168.2.235 sport=1131 dst=200.41.9.39 dport=80 service="http" hostname="www.eltiempo.com" status=passthrough error="failed to resolve FortiGuard hostname" url="/colombia/rss.xml"
msg="Policy allows URLs when a rating error occurs" user="N/A" src=192.168.2.70 sport=2460 dst=157.55.231.252 dport=443 service="https" hostname="urs.microsoft.com" status=passthrough error="failed to resolve FortiGuard hostname" url="/"
id=12552 vd="root" hostname="service.fortiguard.net" error="unable to resolve hostname" msg="gethostbyname() failed."

Se puede ver, que intenta resolver service.fortiguard.net pero no puede, por eso deja ver la web ya que tengo configurado que si existe un error, deje verlo.

Alguien sabe que puede estar pasando¿? o_O

Gracias anticipadas!

Raul.
bokken
 
Mensajes: 4
Registrado: 25 Oct 2011, 16:02

Re: Problema con fortiguard

Notapor gabyrossi » 25 Oct 2011, 16:53

hola, si haces por cli

diag deb rating

que te muestra?

mostras print de pantalla -> system -> maintenance -> fortiguard ?

saludos
FCNSP v.5
FCNSA -
Avatar de Usuario
gabyrossi
 
Mensajes: 9182
Registrado: 30 Oct 2007, 19:47

Re: Problema con fortiguard

Notapor bokken » 26 Oct 2011, 16:59

Buenas, puse arriba este comando, te lo copio:


#diagnose debug rating
Locale : english
License : Unknown
Expiration : N/A
Hostname : service.fortiguard.net
-=- Server List (Tue Oct 25 16:39:03 2011) -=-
IP Weight RTT Flags TZ Packets Curr Lost Total Lost
None


Si te fijas, no aparecen las IPS de los servidores.

En system maintenance forgtiguard, tengo todos los servicios en verde, como si la licencia estuviera correcta, y si le digo Test availavility me da correcto.

Raul.
bokken
 
Mensajes: 4
Registrado: 25 Oct 2011, 16:02

Re: Problema con fortiguard

Notapor gabyrossi » 26 Oct 2011, 17:29

hola, que dns teens puestos en el fortigate?
si ahces execute ping a service.fortiguard.net

resuelve y llegas?

alungos links de ayuda: los viste?

http://kb.fortinet.com/kb/microsites/se ... 2025320923

http://kb.fortinet.com/kb/microsites/se ... 2025320927

http://kb.fortinet.com/kb/microsites/se ... 2025320936
FCNSP v.5
FCNSA -
Avatar de Usuario
gabyrossi
 
Mensajes: 9182
Registrado: 30 Oct 2007, 19:47

Re: Problema con fortiguard

Notapor bokken » 26 Oct 2011, 17:47

Emm creo que no has leído nada de lo que he puesto mas arriba no?

Copio y pego:

*DNS probadas:
8.8.8.8
8.8.4.4
208.67.222.222
208.67.220.220
4.2.2.2
4.2.2.1
80.58.0.33
80.58.61.250
80.58.61.254
194.179.1.100
194.179.1.101
217.76.128.4
Y alguna mas....


*Ping es correcto! pero no resuelve como vereis mas adelante en el debug:
#execute ping service.fortiguard.net

PING guard.fortinet.net (208.91.112.198): 56 data bytes
64 bytes from 208.91.112.198: icmp_seq=0 ttl=40 time=256.3 ms
64 bytes from 208.91.112.198: icmp_seq=1 ttl=40 time=249.6 ms
64 bytes from 208.91.112.198: icmp_seq=2 ttl=40 time=240.8 ms
64 bytes from 208.91.112.198: icmp_seq=3 ttl=40 time=241.6 ms
64 bytes from 208.91.112.198: icmp_seq=4 ttl=40 time=241.8 ms
--- guard.fortinet.net ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max = 240.8/246.0/256.3 ms

Raul.
bokken
 
Mensajes: 4
Registrado: 25 Oct 2011, 16:02

Re: Problema con fortiguard

Notapor bokken » 27 Oct 2011, 15:35

Alguien puede ayudarme?

:?
bokken
 
Mensajes: 4
Registrado: 25 Oct 2011, 16:02

Re: Problema con fortiguard

Notapor jorgefabregat » 30 Oct 2011, 05:14

Hola,haz lo siguiente uzando el CLI.

config log trafficfilter
set resolve disable

Con eso vas a dejar de recibir ese error.
jorgefabregat
 
Mensajes: 1
Registrado: 30 Oct 2011, 05:09

Re: Problema con fortiguard

Notapor Jason Martinez » 16 Nov 2011, 23:05

Tube ese mismo problema, pero me paso al actualizar de mr3 patch 2 al 3. Lo q hice fue sacar un backup antes de actualizar el firmware. Despues de actualizar el firmware mr3 patch 3 es cuando me dio ese error. Ahi subi de nuevo el backup de la version mr3 patch2 nuevamente y funciono !!!

http://yurisk.info/2009/06/19/failed-to ... d-servers/

Espero te ayude !!!
Jason Martinez
 
Mensajes: 19
Registrado: 26 Jul 2011, 20:05

Re: Problema con fortiguard

Notapor cortiz » 21 Abr 2012, 22:15

hola yo tengo el mismo problema, me envia un correo de ese error pero la diferencia es que a mi si me aparece que esta con licencia, no se que hacer, aa y el web filtering no me deja entrar a algunas paginas me imagino que es por lo mismo, tengo la version 4.0 MR3 PATCH3
cortiz
 
Mensajes: 2
Registrado: 21 Abr 2012, 21:23

Re: Problema con fortiguard

Notapor cortiz » 21 Abr 2012, 22:27

ejecuté el comando para dejar de recibir ese correo pero no funcionó
config log trafficfilter
set resolve disable

el correo dice lo siguiente:
Message meets Alert condition
The following critical firewall event was detected: Critical Event.
date=2012-04-21 time=15:22:08 devname=xxxxxx device_id=FG100Axxxxxx log_id=0315012552 type=webfilter subtype=urlfilter pri=critical vd="root" hostname="service.fortiguard.net" error="unable to resolve hostname" msg="gethostbyname() failed."
y como les comenté el web filtering esta fallando, me esta bloqueando paginas que necesito accesar y estan dentro de las categorias permitidas, y a algunas paginas solo se puede accesar por https.
ayuda porfabor
cortiz
 
Mensajes: 2
Registrado: 21 Abr 2012, 21:23

Re: Problema con fortiguard

Notapor gabyrossi » 01 May 2012, 00:06

hola, revisa el dns qe tenes configurado en tu fortigate

si por cli haces:

diag deb rating
que e muestra?

saludos
FCNSP v.5
FCNSA -
Avatar de Usuario
gabyrossi
 
Mensajes: 9182
Registrado: 30 Oct 2007, 19:47

Re: Problema con fortiguard

Notapor jimmy820221 » 18 Jul 2012, 22:49

Yo tuve el mismo problema y revise todo lo que ustedes mencionan y nada me funcionó, y decidí configurar los DNS que los equipos FortiGate traen por default y con esos DNS ya funcionó perfectamente, los DNS que utilicé fueron los siguientes:

DNS1: 208.91.112.198.
DNS2: 208.91.112.52.

DNS Alernativo y Opcional: 208.91.112.53.


Configure estos DNS en el equipo FortiGate y funciono perfectamente.

Espero les sea de utilidad esta información, saludos a todos desde Guadalajara Jalisco México.
jimmy820221
 
Mensajes: 1
Registrado: 18 Jul 2012, 22:40

Re: Problema con fortiguard

Notapor fstrier » 25 Mar 2015, 21:02

hola, tengo un problema parecido, no funciona el filtrado web, si bien corro los diag y parece estar todo OK, también resuelvo bien los nombres de los servicios.
la cuestión es que es como si no tuviera aplicado el filtrado web, lo probé con todos los grupos de usuarios (por IP) y es para todos igual.
Anda el Application Control pero no anda el WEB Filtering. Todo andaba perfecto hasta anteayer. Teniamos Forti 5.2.0 y actualizamos a 5.2.2 pero todo sigue igual.

FGT60CXXXXXXXXX $ diag debug rating
Locale : english
License : Contract
Expiration : Sat Jun 13 2015


-=- Server List (Wed Mar 25 16:59:23 2015) -=-

IP Weight RTT Flags TZ Packets Curr Lost Total Lost
209.222.147.43 20 172 -5 70 0 0
209.222.147.36 20 172 -5 342 0 2
66.117.56.42 20 173 -5 70 0 0
69.195.205.101 20 180 -5 71 0 1
66.117.56.37 20 183 -5 71 0 1
69.195.205.102 20 186 -5 71 0 1
64.26.151.36 20 199 -5 70 0 0
64.26.151.37 20 212 -5 70 0 0
64.26.151.35 20 214 -5 70 0 0
80.85.69.38 30 243 0 70 0 0
80.85.69.41 30 245 0 70 0 0
80.85.69.40 30 264 0 70 0 0
80.85.69.37 30 271 0 70 0 0
62.209.40.73 40 258 1 70 0 0
62.209.40.74 40 278 1 70 0 0
62.209.40.72 40 281 1 70 0 0
96.45.33.65 50 214 -8 70 0 0
96.45.33.64 50 230 -8 71 0 1
208.91.112.200 50 236 -8 70 0 0
208.91.112.196 50 250 D T -8 72 0 0
208.91.112.198 50 299 DI -8 77 0 2
121.111.236.180 120 330 9 70 0 0
121.111.236.179 120 330 9 70 0 0
fstrier
 
Mensajes: 55
Registrado: 13 Nov 2008, 14:50

Re: Problema con fortiguard

Notapor gabyrossi » 26 Mar 2015, 12:48

hola podrias mostrar las politicas y un perfil?

saludos.
FCNSP v.5
FCNSA -
Avatar de Usuario
gabyrossi
 
Mensajes: 9182
Registrado: 30 Oct 2007, 19:47

Re: Problema con fortiguard

Notapor fstrier » 26 Mar 2015, 16:30

gabyrossi escribió:hola podrias mostrar las politicas y un perfil?

saludos.


config firewall policy
edit 14
set srcintf "internal1"
set dstintf "wan1"
set srcaddr "Sistemas"
set dstaddr "all"
set action accept
set schedule "always"
set service "Navega_users"
set utm-status enable
set av-profile "default"
set webfilter-profile "Navegacion_Sistemas"
set spamfilter-profile "AllUsers"
set ips-sensor "protect_client"
set application-list "BNA-APControl-Sistemas"
set profile-protocol-options "default"
set nat enable
next


config webfilter profile
edit "Navegacion_Sistemas"
set inspection-mode flow-based
config override
set ovrd-user-group ""
end
config ftgd-wf
unset options
set category-override 142 140 141
config filters
edit 2
set category 2
set action block
set log disable
next
edit 7
set category 7
set action block
set log disable
next
edit 8
set category 8
set action block
set log disable
next
edit 9
set category 9
set action block
set log disable
next
edit 11
set category 11
set action block
set log disable
next
edit 13
set category 13
set action block
set log disable
next
edit 14
set category 14
set action block
set log disable
next
edit 15
set category 15
set action block
set log disable
next
edit 16
set category 16
set action block
set log disable
next
edit 17
set category 17
set action block
set log disable
next
edit 20
set category 20
set action block
set log disable
next
edit 25
set category 25
set log disable
next
edit 26
set category 26
set action block
set log disable
next
edit 28
set category 28
set action block
set log disable
next
edit 29
set category 29
set action block
set log disable
next
edit 32
set log disable
next
edit 34
set category 34
set action block
set log disable
next
edit 35
set category 35
set log disable
next
edit 38
set category 38
set action block
set log disable
next
edit 40
set category 40
set action block
set log disable
next
edit 44
set category 44
set action block
set log disable
next
edit 46
set category 46
set action block
set log disable
next
edit 47
set category 47
set action block
set log disable
next
edit 48
set category 48
set action block
set log disable
next
edit 53
set category 53
set action block
set log disable
next
edit 54
set category 54
set action block
set log disable
next
edit 55
set category 55
set action block
set log disable
next
edit 56
set category 56
set log disable
next
edit 57
set category 57
set action block
set log disable
next
edit 58
set category 58
set action block
set log disable
next
edit 61
set category 61
set action block
set log disable
next
edit 63
set category 63
set action block
set log disable
next
edit 64
set category 64
set action block
set log disable
next
edit 65
set category 65
set action block
set log disable
next
edit 66
set category 66
set action block
set log disable
next
edit 67
set category 67
set action block
set log disable
next
edit 70
set category 70
set action block
set log disable
next
edit 71
set category 71
set action block
set log disable
next
edit 72
set category 72
set action block
set log disable
next
edit 75
set category 75
set action block
set log disable
next
edit 77
set category 77
set action block
set log disable
next
edit 78
set category 78
set action block
set log disable
next
edit 79
set category 79
set action block
set log disable
next
edit 80
set category 80
set action block
set log disable
next
edit 81
set category 81
set log disable
next
edit 82
set category 82
set action block
set log disable
next
edit 86
set category 86
set action block
set log disable
next
edit 87
set category 87
set action block
set log disable
next
edit 18
set category 18
next
edit 19
set category 19
next
edit 23
set category 23
next
edit 24
set category 24
next
edit 30
set category 30
next
edit 31
set category 31
next
edit 33
set category 33
next
edit 36
set category 36
next
edit 37
set category 37
next
edit 39
set category 39
next
edit 41
set category 41
next
edit 42
set category 42
next
edit 43
set category 43
next
edit 49
set category 49
next
edit 50
set category 50
next
edit 51
set category 51
next
edit 52
set category 52
next
edit 68
set category 68
next
edit 69
set category 69
next
edit 76
set category 76
next
edit 84
set category 84
next
edit 85
set category 85
next
edit 88
set category 83
set action block
next
edit 89
set category 5
set action block
next
edit 90
set category 1
set action block
next
edit 91
set category 6
set action block
next
edit 92
set category 12
set action block
next
edit 93
set category 3
set action block
next
edit 94
set category 4
set action block
next
edit 95
set category 62
set action block
next
edit 96
set category 59
set action block
next
end
end
next
fstrier
 
Mensajes: 55
Registrado: 13 Nov 2008, 14:50

Siguiente

Volver a Políticas del Firewall