Dudas de bloqueo

[dav.gonzalez]

Buenos días, desde unos días conocí los equipos fortigate y me gustaría que me pudieran guiar un poco sobre las dudas que tengo...mi escenario es el siguiente:

-Tengo el acceso a 4 Fortigate80C (usuario solo lectura por el momento)

-Ubicación de los Fortigate en cuatro países diferentes:
SUC1: Versión de firmware v4.0,build0217,110616 (MR1 Patch 10) DMZ 192.168.10.0 LAN 192.168.1.0, 192.168.5.0
SUC2: Versión de firmware v4.0,build0328,110718 (MR2 Patch DMZ 192.168.20.0 LAN 192.168.2.0
SUC3: Versión de firmware v4.0,build0458,110627 (MR3 Patch 1)DMZ 192.168.30.0 LAN 192.168.3.0
SUC4: Firmware Version v4.0,build0192,091222 (MR1 Patch 2)DMZ 192.168.40.0 LAN 192.168.4.0

-Conectados por VPN IPsec

Mi duda es la siguiente en la sucursal numero uno tiene configurado en la interfaz “internal” la 192.168.1.0 y como IP segundaria la 192.168.5.0 y necesito aislar totalmente la 192.168.5.0 del resto bloqueando absolutamente TODO excepto su salida a internet. ¿Cuales son los pasos a seguir para realizar esto?

*Otra duda como agrego un grupo de solo algunos Host para hacer acepciones de algunas reglas de filtrado por ejemplo de web y IM

PD: ¿Es recomendable que todos los firmware sean idénticos?

Saludos,
David González

[gabyrossi]

Hola,

Mi duda es la siguiente en la sucursal numero uno tiene configurado en la interfaz “internal” la 192.168.1.0 y como IP segundaria la 192.168.5.0 y necesito aislar totalmente la 192.168.5.0 del resto bloqueando absolutamente TODO excepto su salida a internet. ¿Cuales son los pasos a seguir para realizar esto?

cuando decis aislar es que no se vea la red 1 con la 5?
necesitas usar una interface diferente para la red5.

*Otra duda como agrego un grupo de solo algunos Host para hacer acepciones de algunas reglas de filtrado por ejemplo de web y IM

cargas es firewall -> address las direcciones y armas un grupo de direcciones luego. Con ese grupo armar una politica y la ubicas arriba de la politica que tenias.

PD: ¿Es recomendable que todos los firmware sean idénticos

No necesariamente. No se que modelos son los equipos algunos equipos chicos como los 60a o 50 andan mejor con mr1, los demas pueden funcionar muy bien con mr2 y m3.
Mr2 lo recomendable es mr2 patch11
mr3 hay algunos temas con patch6.

saludos

[dav.gonzalez]

Hola gabyrossi, primero que todo muchas por el tiempo que dedicas al ayudarme con el tema.

• Si eso es lo que quiero hacer que la 5 no pueda ver ni a la 1,2,3,4 y que esas tampoco puedan ver la 5. El problema es que solo tiene una interfaz y por eso te señalaba que en la configuración de la interfaz (la única que tiene) sale asignada la 1 y debajo de eso aparece ip segundaria y hay esta ingresada…
NOTA: los equipos de las sucursales 2 y 3 tienen 6 interfaz . Sucursal 1 y 4 solo una

• Todos los modelos son 80C ,como te lo señale anterior mente con su firmware

[gabyrossi]

hola, esos equipos se pueden re-configurar para que cad ainterface de la internal sea individuales.
pero si no lo puedes hacer busca una interface libre como por ejemplo dmz, o wan2 (si es que no la usas) y configura ahi lared que tenes en ip secundaria.

saludos

[dav.gonzalez]

hola, esos equipos se pueden re-configurar para que cad ainterface de la internal sea individuales.
pero si no lo puedes hacer busca una interface libre como por ejemplo dmz, o wan2 (si es que no la usas) y configura ahi lared que tenes en ip secundaria.

saludos

Hola, la interface WAN2 es la unica libre que tengo.puedo agregar esa LAN a esa interface?. si es positivo al configurar la 5 necesito algun paso extra para hacerlo de forma correcta? como aplico la politica para lo que necesito segun lo hablando?
respecto a los firmware los mantengo como estan cada uno de ellos o alguno sera necesario actualizar?

Saludos

[gabyrossi]

hola, si podes usar la wan2.


saludos