FIREWALL POLICY - LAN con DMZ

Para temas relacionados con el enrutamiento (estatico, basado en politicas, RIP, OSPF,...)
Responder
JuanLuis_TM
Mensajes: 3
Registrado: 30 Nov 2021, 03:50

FIREWALL POLICY - LAN con DMZ

Mensaje por JuanLuis_TM »

Saludos comunidad de profesionales FORTIGATE.
Tengo un fortigate 500e con conexiones LAN, DMZ y 3WAN; realice lo siguiente:
- las rutas predeterminadas (0.0.0.0/0) con misma distancia administrativa pero con distintas prioridades (en las WAN) [FUNCIONA ]
- La red LAN sale por WAN1 y servicios como ser servidores de la DMZ salen por las WAN2 y WAN3 (esto aplicando policy Routes) [FUNCIONA]
- [PROBLEMA] no logro que red LAN interna llegue a los servicios de la DMZ, aplique Firewall Policy especificando que red se quiere alcanzar (en este caso servicios host DMZ) y no me a funcionado, aplique varias logicas; talvez aplique mal los policy routes? o estoy interpretando mal la logica. Ayuda Porfavor.
AndresW
Mensajes: 452
Registrado: 09 Jun 2014, 17:05

Re: FIREWALL POLICY - LAN con DMZ

Mensaje por AndresW »

Hola,

¿Pero para qué necesitarías una PBR para manejar el tráfico entre la interfaz LAN y DMZ?. Este debiera utilizar la tabla de enrutiamiento local para determinar como alcanzar la(s) rede(s) en la DMZ.

Quizás no se entendió bien el problema.
Saludos!

_____________________________________________________________

Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
JuanLuis_TM
Mensajes: 3
Registrado: 30 Nov 2021, 03:50

Re: FIREWALL POLICY - LAN con DMZ

Mensaje por JuanLuis_TM »

Bueno no aplique PBR exactamente pero en mi desesperación quice hacerlo ya que con el firewall policy que permitia alcanzar la DMZ a travez de la LAN no funciona solo llego hasta los gateway de ambos pero a los host que conforman las redes no llega.
Saludos estimados.
AndresW
Mensajes: 452
Registrado: 09 Jun 2014, 17:05

Re: FIREWALL POLICY - LAN con DMZ

Mensaje por AndresW »

Entonces si llegas sólo a los default de ambas redes, tienes algún problema en la política de firewall. Ya que a nivel de routing es solamente enrutamiento entre interfaces directamente conectadas, por lo que primero te recomiendo eliminar, si aún existe, la PBR ya que está completamente de más.

Algunas preguntas:

1.- ¿Qué ves cuando haces un diag sniff packet dmz mientras corres un ping desde algún dispositivo en la red LAN hacia alguna máquina de la DMZ?.

2.- ¿Podrías compartir un screenshot de la política que permite el tráfico desde LAN -> DMZ?.

3.- ¿Tienes plena certeza de que los equipos en la DMZ tienen definida como su default gateway la IP de la interfaz DMZ?.
Saludos!

_____________________________________________________________

Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
Responder