Problema con filtro por IP de origen

ujemvi · Mensaje por **ujemvi** » 12 Nov 2013, 16:08

Hola a todos!
Estoy teniendo un problema con una política de mi FortiGate 600C.
Esta es la configuración pertinente:

config firewall vip
    edit "100.100.100.100"
        set extip 100.100.100.100
        set extintf "wan1"
        set mappedip 10.1.250.135
    next
end

config firewall address
   edit "Crossfone-1-ALT"
        set subnet 66.66.66.64 255.255.255.240
    next
end
   
config firewall policy
   edit 103
        set srcintf "wan1"
        set dstintf "port1"
        set srcaddr "Crossfone-1-ALT"
        set dstaddr "100.100.100.100"
        set action accept
        set schedule "always"
        set service "SIP" "RTP" "PING"
        set logtraffic all
    next
end

Ahora, les muestro el traffic log para esa política.

Código: Seleccionar todo

date=2013-11-11 time=18:56:06 logid=0000000013 type=traffic subtype=forward level=notice vd=root srcip=66.66.66.75 srcport=31745 srcintf="wan1" dstip=100.100.100.100 dstport=11587 dstintf="port1" sessionid=438019366 status=accept policyid=103 dstcountry="Argentina" srccountry="Argentina" trandisp=dnat tranip=10.1.250.135 tranport=11587 service=SIP proto=17 duration=185 sentbyte=288 rcvdbyte=92 sentpkt=2 rcvdpkt=1
date=2013-11-11 time=18:55:41 logid=0000000013 type=traffic subtype=forward level=notice vd=root srcip=66.66.66.75 srcport=27215 srcintf="wan1" dstip=100.100.100.100 dstport=16159 dstintf="port1" sessionid=438019366 status=accept policyid=103 dstcountry="Argentina" srccountry="Argentina" trandisp=dnat tranip=10.1.250.135 tranport=16159 service=SIP proto=17 duration=190 sentbyte=288 rcvdbyte=184 sentpkt=2 rcvdpkt=2
date=2013-11-11 time=18:55:24 logid=0000000013 type=traffic subtype=forward level=notice vd=root srcip=66.66.66.75 srcport=35090 srcintf="wan1" dstip=100.100.100.100 dstport=15852 dstintf="port1" sessionid=438019366 status=accept policyid=103 dstcountry="Argentina" srccountry="Argentina" trandisp=dnat tranip=10.1.250.135 tranport=15852 service=SIP proto=17 duration=121 sentbyte=120 rcvdbyte=120 sentpkt=2 rcvdpkt=2
date=2013-11-11 time=18:55:02 logid=0000000013 type=traffic subtype=forward level=notice vd=root srcip=66.66.66.75 srcport=31744 srcintf="wan1" dstip=100.100.100.100 dstport=11586 dstintf="port1" sessionid=438019366 status=accept policyid=103 dstcountry="Argentina" srccountry="Argentina" trandisp=dnat tranip=10.1.250.135 tranport=11586 service=SIP proto=17 duration=121 sentbyte=120 rcvdbyte=120 sentpkt=2 rcvdpkt=2
date=2013-11-11 time=18:54:32 logid=0000000013 type=traffic subtype=forward level=notice vd=root srcip=66.66.66.75 srcport=27214 srcintf="wan1" dstip=100.100.100.100 dstport=16158 dstintf="port1" sessionid=438019366 status=accept policyid=103 dstcountry="Argentina" srccountry="Argentina" trandisp=dnat tranip=10.1.250.135 tranport=16158 service=SIP proto=17 duration=121 sentbyte=120 rcvdbyte=120 sentpkt=2 rcvdpkt=2
date=2013-11-11 time=18:52:56 logid=0000000013 type=traffic subtype=forward level=notice vd=root srcip=204.101.27.220 srcport=5067 srcintf="wan1" dstip=100.100.100.100 dstport=5060 dstintf="port1" sessionid=437952500 status=accept policyid=103 dstcountry="Argentina" srccountry="Canada" trandisp=dnat tranip=10.1.250.135 tranport=5060 service=SIP proto=17 duration=351 sentbyte=429 rcvdbyte=0 sentpkt=1 rcvdpkt=0

Esa última línea... Porqué? Porqué pasó? El "set srcaddr" del policy 103 no debería evitar que eso me pase?
Por favor un poco de ayuda! :idea:

Mensaje por **gabyrossi** » 12 Nov 2013, 18:53

hola, los ultimos logs muestran bien...

date=2013-11-11 time=18:56:06 logid=0000000013 type=traffic subtype=forward level=notice vd=root srcip=66.66.66.75 srcport=31745 srcintf="wan1" dstip=100.100.100.100 dstport=11587 dstintf="port1" sessionid=438019366 status=accept policyid=103 dstcountry="Argentina" srccountry="Argentina" trandisp=dnat tranip=10.1.250.135 tranport=11587 service=SIP proto=17 duration=185 sentbyte=288 rcvdbyte=92 sentpkt=2 rcvdpkt=1

saludos.

ujemvi · Mensaje por **ujemvi** » 12 Nov 2013, 21:23

La mayoría sí, pero el último de todos me muestra una sesión desde una IP disitnta:

Código: Seleccionar todo

date=2013-11-11 time=18:52:56 logid=0000000013 type=traffic subtype=forward level=notice vd=root srcip=204.101.27.220 srcport=5067 srcintf="wan1" dstip=100.100.100.100 dstport=5060 dstintf="port1" sessionid=437952500 status=accept policyid=103 dstcountry="Argentina" srccountry="Canada" trandisp=dnat tranip=10.1.250.135 tranport=5060 service=SIP proto=17 duration=351 sentbyte=429 rcvdbyte=0 sentpkt=1 rcvdpkt=0

Esa IP no está en el rango especificado en mi política, y aún así, el log me muestra que fue aceptada.

Mensaje por **gabyrossi** » 13 Nov 2013, 13:01

fue anterior a todas las demas... el filtro lo pusiste en ese momento?

ujemvi · Mensaje por **ujemvi** » 13 Nov 2013, 13:38

En realidad ese es un ejemplo. El filtro está puesto con las configuraciones que mostré, y esas sesiones me continúan apareciendo.
No entiendo por qué :?:

Mensaje por **gabyrossi** » 13 Nov 2013, 13:52

hola si, no deberia pasar ese trafico si estas configurado como decis.

saludos.

Comunidad FORTIGATE.es

Problema con filtro por IP de origen

Problema con filtro por IP de origen

Re: Problema con filtro por IP de origen

Re: Problema con filtro por IP de origen

Re: Problema con filtro por IP de origen

Re: Problema con filtro por IP de origen

Re: Problema con filtro por IP de origen