Problemas funcionamiento politicas

Para temas sobre el uso de las politicas de filtrado en los productos FortiGate.
SirClaudio
Mensajes: 9
Registrado: 28 Abr 2021, 15:25

Problemas funcionamiento politicas

Mensaje por SirClaudio »

Hola a todos,
llevo dias con problema con las políticas e probado de muchas formas y configuraciones, estas las aplico y "funcionan" pero siempre y cuando deje una política que permita todo en mi red, ahora por defecto esta la política implícita que restringe todo y mi idea es que esta restringa a todos y solo deje pasar los equipos en los grupos creados a su respectiva política.

tengo un server DHCP y DNS, en forti agrege los equipos de usuarios por la ip de sus equipos previamente reservadas.
[img][
politicas.PNG
/img]
No tiene los permisos requeridos para ver los archivos adjuntos a este mensaje.
Última edición por SirClaudio el 28 Abr 2021, 16:27, editado 1 vez en total.
AndresW
Mensajes: 451
Registrado: 09 Jun 2014, 17:05

Re: Problemas funcionamiento politicas

Mensaje por AndresW »


SirClaudio escribió:Hola a todos,
llevo dias con problema con las políticas e probado de muchas formas y configuraciones, estas las aplico y "funcionan" pero siempre y cuando deje una política que permita todo en mi red, ahora por defecto esta la política implícita que restringe todo y mi idea es que esta restringa a todos y solo deje pasar los equipos en los grupos creados a su respectiva política.

tengo un server DHCP y DNS, en forti agrege los equipos de usuarios por la ip de sus equipos previamente reservadas.
Imagen
Hola,

No queda muy clara tu pregunta, además que la imagen no subió correctamente. ¿Podrías entregar más antecedentes para poder ayudarte?.

Aparentemente estás aplicando mal el orden de las políticas o no están bien construidas. No obstante aprovecho de comentarte que estas se leen desde arriba hacia abajo, por lo que debes considerar definir la primera política que habilite el tráfico al grupo de usuarios específicos para que haga match y no continúe evaluando el resto. Lo demás (que no está explícitamente permitido en la primera) será procesado por la implícita que deniega todo.

Saludos!

Grupo de Telegram referente a FortiGate --> [Debes identificarte para poder ver enlaces.]




Saludos!

_____________________________________________________________

Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
SirClaudio
Mensajes: 9
Registrado: 28 Abr 2021, 15:25

Re: Problemas funcionamiento politicas

Mensaje por SirClaudio »

si, mira anteriormente e configurado otros forti version OS 5.6, ahora esta tiene version 7 y utilice la misma confi y no se cual es el problema.
aplique desde la política menos restrictiva a la que mas restringe quedando al final la de denegación, pero luego de esto toda conexión se cae.

al parecer la de denegacion continua predominando, por lo cual e tenido que dejar siempre una política al principio que permita todo.
y lo que busco es que quien se conecte a mi red no tenga acceso a nada si no esta permitido.
AndresW
Mensajes: 451
Registrado: 09 Jun 2014, 17:05

Re: Problemas funcionamiento politicas

Mensaje por AndresW »

Quizás aún es demasiado temprano como para utilizar FortiOS 7 en ambiente productivo, claramente puede ser un bug. Podría ser útil que hicieras un downgrade a 6.4 al menos.

De todas formas, ¿revisaste logs?

Grupo de Telegram referente a FortiGate --> [Debes identificarte para poder ver enlaces.]

Saludos!

_____________________________________________________________

Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
SirClaudio
Mensajes: 9
Registrado: 28 Abr 2021, 15:25

Re: Problemas funcionamiento politicas

Mensaje por SirClaudio »

realice downgrade a 6.4.5 y persiste el problema.

ahora en la primera política solo agregue algunos grupos sin ningún perfil de seguridad para que todo el trafico sea aceptado, y elimino la política de salida a todo, pero una ves eliminada se pierde la red para todos los equipos. por lo cual la debo habilitar, ahora el monitoreo si muestra la transferencia de datos que pasan por estas políticas.

y los logs no muestran nada, ni solicitudes aceptadas ni rechazadas cuando saco la política general de aceptar todo.

llego a pensar que sea algo del DNS o NAT, pero el firewall anterior que era de otra marca tenia la misma configuración.
No tiene los permisos requeridos para ver los archivos adjuntos a este mensaje.
AndresW
Mensajes: 451
Registrado: 09 Jun 2014, 17:05

Re: Problemas funcionamiento politicas

Mensaje por AndresW »

¿Puedes compartir la configuración de la primera política?.

Grupo de Telegram referente a FortiGate --> [Debes identificarte para poder ver enlaces.]

Saludos!

_____________________________________________________________

Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
AndresW
Mensajes: 451
Registrado: 09 Jun 2014, 17:05

Re: Problemas funcionamiento politicas

Mensaje por AndresW »

¿Puedes compartir la configuración de la primera política?.

Grupo de Telegram referente a FortiGate --> [Debes identificarte para poder ver enlaces.]

Saludos!

_____________________________________________________________

Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
SirClaudio
Mensajes: 9
Registrado: 28 Abr 2021, 15:25

Re: Problemas funcionamiento politicas

Mensaje por SirClaudio »

te dejo capturas
No tiene los permisos requeridos para ver los archivos adjuntos a este mensaje.
AndresW
Mensajes: 451
Registrado: 09 Jun 2014, 17:05

Re: Problemas funcionamiento politicas

Mensaje por AndresW »

¿Y puedes enviar la política que "SI" te funciona?. Al menos a simple vista se ve bien.

¿La interfaz WAN2 está correcta cierto?

Grupo de Telegram referente a FortiGate --> [Debes identificarte para poder ver enlaces.]

Saludos!

_____________________________________________________________

Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
SirClaudio
Mensajes: 9
Registrado: 28 Abr 2021, 15:25

Re: Problemas funcionamiento politicas

Mensaje por SirClaudio »

como esta al final la de salida la demás red anda lenta, por el orden.
No tiene los permisos requeridos para ver los archivos adjuntos a este mensaje.
AndresW
Mensajes: 451
Registrado: 09 Jun 2014, 17:05

Re: Problemas funcionamiento politicas

Mensaje por AndresW »

¿Administración, Regulados y Servidores se rutean todos en la misma interfaz (LAN)?

Cuando eliminas esa política (la que permite todo) y habilitas la más acotada y desde algún dispositivo intentas traficar hacia Internet, ¿ves pasar los paquetes al correr un sniffer en la puerta WAN2 y LAN?.


Grupo de Telegram referente a FortiGate --> [Debes identificarte para poder ver enlaces.]

Saludos!

_____________________________________________________________

Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
SirClaudio
Mensajes: 9
Registrado: 28 Abr 2021, 15:25

Re: Problemas funcionamiento politicas

Mensaje por SirClaudio »

creo que el problema podría ser el servidor DNS, por ejemplo actualmente tengo un server con dns el cual tiene como dns preferido su propia IP.

ahora este debería apuntar al DNS que me esta entregando fortinet, con su servicio fortiguard?? eso me queda de duda.
SirClaudio
Mensajes: 9
Registrado: 28 Abr 2021, 15:25

Re: Problemas funcionamiento politicas

Mensaje por SirClaudio »

incluso en los log me aparece como que se permitió el trafico pero en el navegador dice el tipico que no conecto o el DNS.
AndresW
Mensajes: 451
Registrado: 09 Jun 2014, 17:05

Re: Problemas funcionamiento politicas

Mensaje por AndresW »

Los DNS que se configuran en el FG no tienen relación directa con los definidos en los clientes detrás del firewall. Sin embargo ambas reglas tienen permitido tráfico DNS, no sé si sea la resolución de nombres el problema en tu caso. De todas maneras prueba asignando ya sea por DHCP o estáticamente a los usuarios los resolvers de Google 8.8.8.8 y 8.8.4.4.

¿Si haces un ping hacia 8.8.8.8 utlizando la política acotada, tienes respuesta?.

Grupo de Telegram referente a FortiGate --> [Debes identificarte para poder ver enlaces.]


Saludos!

_____________________________________________________________

Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
SirClaudio
Mensajes: 9
Registrado: 28 Abr 2021, 15:25

Re: Problemas funcionamiento politicas

Mensaje por SirClaudio »

si tengo respuesta, como también los correos, pero a la hora de navegar no funciona
Responder