Acceso permitido solo a MACs listadas

Para temas sobre el uso de las politicas de filtrado en los productos FortiGate.
Responder
Carlos.Diaz
Mensajes: 5
Registrado: 11 Oct 2018, 16:29

Acceso permitido solo a MACs listadas

Mensaje por Carlos.Diaz » 21 Nov 2018, 19:17

Hola muy buenas.

Necesito vuestra ayuda, me he topado contra un muro que no puedo esquivar y no se me ocurren más cosas que probar. Estoy configurando un fortigate 101E con el Firmware v5.6.6, la situación es la siguiente;
En mi empresa tenemos salida por dos routers, a la que se accede por medio de un SD-WAN que balancea la carga entre las 2 salidas, esta SD-WAN se coloca entre la LAN y los routers, la LAN es la interfaz configurada para proporcionar las IPs por medio de DHCP. El problema es el siguiente, tenemos una política que evita que equipos que no están añadidos al filtro no salgan a internet, pero aún asi siguen recibiendo IP por DHCP. Si pongo un filtro por IP/MAC en el DHCP y deniego el acceso a equipos que no están en ese filtro me sale el siguiente mensaje -- Error 500. Error interno del servidor Web. Por favor valide la configuración del URL o DNS -- (Este mensaje me sale sin sentido, a veces al haber añadido 60, otras cuando añado 1 nueva...)y me borra toda la información de esa interfaz. En mi empresa trabajamos con datos delicados de clientes, con lo que necesitamos que ningún dispositivo desconocido tenga acceso a la red, también necesitaría negarlo por medio de IP fija. He probado configurando una interfaz como DHCP relay (dentro del mismo equipo pero nada). Adjunto un archivo con las configuraciones que tenemos, el problema es que no se como meter la política antes de la entrada al Fortigate (cosa que no se si se puede hacer).

Gracias de antemano y si no entendéis algo de la explicación preguntarme, intentaré explicarlo mejor ;P

Un saludo y Buen dia
No tiene los permisos requeridos para ver los archivos adjuntos a este mensaje.

Avatar de Usuario
makco10
Mensajes: 744
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: Acceso permitido solo a MACs listadas

Mensaje por makco10 » 23 Nov 2018, 00:25

Hola,

Si solamente quieres permitir la navegacion de esos usuarios, en la politica tienes que colocar en la parte de source solamente las direcciones de esos usuarios.

En el caso de las mac tambien puedes restringir por mac, este link te puede ser util: https://cookbook.fortinet.com/mac-access-control/

Saludos.
Defend Your Enterprise Network With Fortigate Next Generation Firewall

Carlos.Diaz
Mensajes: 5
Registrado: 11 Oct 2018, 16:29

Re: Acceso permitido solo a MACs listadas

Mensaje por Carlos.Diaz » 23 Nov 2018, 16:29

Hola

El problema es el siguiente, eso es lo que he estado haciendo, el filtro para no salir a la web funciona, lo que no funciona y da problemas es el filtrado MAC en el DHCP, se cae me sale el mensaje -- Error 500. Error interno del servidor Web. Por favor valide la configuración del URL o DNS -- y me borra muchas de las IPs que estaban dentro del sistema.

Y con esas políticas, gente que se conecte por medio de IP fija a la red puede seguir teniendo acceso, y eso tengo que evitarlo.

Un saludo

Avatar de Usuario
makco10
Mensajes: 744
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: Acceso permitido solo a MACs listadas

Mensaje por makco10 » 23 Nov 2018, 22:10

En la politica puedes colocar solamente las ip´s que deseas dar salida, y en este caso aunque un usuario coloque una ip fija no tendrá acceso ya que el equipo solamente dará acceso a las ip´s seleccionadas en la politica.

Puedes colocar una captura del mensaje que comentas?

Saludos.
Defend Your Enterprise Network With Fortigate Next Generation Firewall

Carlos.Diaz
Mensajes: 5
Registrado: 11 Oct 2018, 16:29

Re: Acceso permitido solo a MACs listadas

Mensaje por Carlos.Diaz » 26 Nov 2018, 16:17

makco10 escribió:
23 Nov 2018, 22:10
En la politica puedes colocar solamente las ip´s que deseas dar salida, y en este caso aunque un usuario coloque una ip fija no tendrá acceso ya que el equipo solamente dará acceso a las ip´s seleccionadas en la politica.

Puedes colocar una captura del mensaje que comentas?

Saludos.
El problema seguiría siendo el mismo, los dispositivos a los que no quiero dar ningún acceso siguen entrando a la red LAN pero no salen a internet. El problema es que el filtro MAC está entre la red LAN y la SD-WAN, lo que necesito es alguna manera de mover ese filtro a antes de entrar a la LAN.

Gracias y una saludo

Avatar de Usuario
makco10
Mensajes: 744
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: Acceso permitido solo a MACs listadas

Mensaje por makco10 » 26 Nov 2018, 20:55

Hola,

Ya en ese casos quizás te seria mas fácil tener un control de puertos mediante un switch.

Saludos.
Defend Your Enterprise Network With Fortigate Next Generation Firewall

Responder