Hola, buenas.
Actualmente tengo una configuracion de VIRTUAL IP en la que no tengo muy claro para que sirven ciertas cosas:
La opción "Network --> Interface" no tengo claro para qué casos es necesario definiarla ya que de la forma que yo lo he hecho, he usado un puerto desconectado del FG100E para que lo use para hacer NAT, pero igual lo he hecho erroneamente ya que veo que la opción por defecto es "any".
Por otro lado he visto en una pagina de fortinet [Debes identificarte para poder ver enlaces.] pone que el limite de VIRTUAL IPs a realizar es de 16384, pero no tengo claro como puedo esto afectar esto al rendimiento del equipo. (Puede que tenga que configurar unas 500s)
Muchas gracias de antemano y un saludo.
Aclaración VIRTUAL IP FG100E
Re: Aclaración VIRTUAL IP FG100E
Buenas,
Si utilizas la interfaz any como entrada para tu VIP, el firewall responderá a la misma a través de cualquier interfaz pero no se una solución muy "limpia" lo normal es que configures las VIP con interfaz origen aquella interfaz por la que "esperas/quieres" lleguen las peticiones.
El tema de asignar una IP de tu rango de IPs públicas a la interfaz WAN del firewall no es obligatorio pero si sólo tienes un rango de IPs públicas facilita temas de encaminamiento.
Saludos.
Si utilizas la interfaz any como entrada para tu VIP, el firewall responderá a la misma a través de cualquier interfaz pero no se una solución muy "limpia" lo normal es que configures las VIP con interfaz origen aquella interfaz por la que "esperas/quieres" lleguen las peticiones.
El tema de asignar una IP de tu rango de IPs públicas a la interfaz WAN del firewall no es obligatorio pero si sólo tienes un rango de IPs públicas facilita temas de encaminamiento.
Saludos.
Re: Aclaración VIRTUAL IP FG100E
Hola Felipe,
Gracias por la respuesta,
Actualmente lo tengo con la interfaz definida, pero simplemente quería saber si estuviera con la opción any, como se comportaría...
Por otro lado, sobre el tema de los 500 nats que tendría que hace.. veo que existe la opcion de hacer nat de puerto con un rango de puertos, entiendo que con el puerto de origen, comenzaría a realiazar una tabla para la correspondencia con el puerto mapeado dentro de la red y siempre mantendría dichos puertos de cara a la red privada tras el firewall?
También entiendo que lo más fácil sería natear toda una dirección pública a otra interna que atienda el trabajo pero claro, el tema de las IP publicas está caro.
Un saludo.
Gracias por la respuesta,
Actualmente lo tengo con la interfaz definida, pero simplemente quería saber si estuviera con la opción any, como se comportaría...
Por otro lado, sobre el tema de los 500 nats que tendría que hace.. veo que existe la opcion de hacer nat de puerto con un rango de puertos, entiendo que con el puerto de origen, comenzaría a realiazar una tabla para la correspondencia con el puerto mapeado dentro de la red y siempre mantendría dichos puertos de cara a la red privada tras el firewall?
También entiendo que lo más fácil sería natear toda una dirección pública a otra interna que atienda el trabajo pero claro, el tema de las IP publicas está caro.
Un saludo.
Re: Aclaración VIRTUAL IP FG100E
Buenas,
Depende un poco de la disponibilidad de IPs públicas y de la seguridad que quieras aportar.
En mi opinión es mejor hacer una VIP por cada puerto y luego crear grupos de VIPs que se correspondan con el mismo servidor físico interno. De este modo te aseguras que las conexiones son única y exclusivamente a esos puertos (aunque si decides hacer una VIP de la IP completa puedes restringir los puertos por política). También tiene la ventaja de que puedes reutilizar muchas veces la misma IP pública.
Ahora si tienes que cambiar la VIP cada cierto tiempo (porque cambie la IP del servidor tras el firewall), obviamente hacer el port forwarding es mucho más engorroso (tendrías que cambiarla una a una, usar un script o cambiarlo en el fichero de configuración y volverlo a cargar).
Saludos.
Depende un poco de la disponibilidad de IPs públicas y de la seguridad que quieras aportar.
En mi opinión es mejor hacer una VIP por cada puerto y luego crear grupos de VIPs que se correspondan con el mismo servidor físico interno. De este modo te aseguras que las conexiones son única y exclusivamente a esos puertos (aunque si decides hacer una VIP de la IP completa puedes restringir los puertos por política). También tiene la ventaja de que puedes reutilizar muchas veces la misma IP pública.
Ahora si tienes que cambiar la VIP cada cierto tiempo (porque cambie la IP del servidor tras el firewall), obviamente hacer el port forwarding es mucho más engorroso (tendrías que cambiarla una a una, usar un script o cambiarlo en el fichero de configuración y volverlo a cargar).
Saludos.