Buenos dias, me acaban de hacer un requerimiento que me tiene pensativo y no se si realmente se pueda hacer, les comento brevemente:
Un proveedor vino a ofrecernos un sistema de videoconferencia al cual se accede a traves de un navegador, sin embargo para que la pagina abra se deben abrir puertos como 17990 17991 etc de entrada. desde mi segmento lan la pagina no abre sin embargo con un modem 3G si. mis dudas son:
1. Los permisos de entrada siempre lo aplicamos colocando como destino de la política el NAT que se hace entre una ip publica y la ip privada. No entiendo cómo se haría para dar permisos de entrada para todo un segmento LAN, ya que los equipos cuando salen a internet se ven es por la ip publica del firewall que natea todas las conexiones de salida.
les agradezco cualquier sugerencia.
NAT de entrada para todo un segmento de red
-
morfeoreyes
- Mensajes: 31
- Registrado: 09 Sep 2013, 03:37
Re: NAT de entrada para todo un segmento de red
hola, si queres abrir puertos desde internet a una ip usas vip.
revisa en el foro tema de vip o virtual ip
saludos
revisa en el foro tema de vip o virtual ip
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
-
morfeoreyes
- Mensajes: 31
- Registrado: 09 Sep 2013, 03:37
Re: NAT de entrada para todo un segmento de red
Buenas tardes gabyrossi gracias por responder, el tema de virtual ip lo entiendo y lo he aplicado en distintos servicios que menejan nuestros servidores, sin embargo mi duda esta en que si es posible abrir varios puertos de entrada para todo un segmento de red, no para una sola ip privada interna.
el escenario en que me encuentro es que si por ejemplo un usuario que esta dentro del segmento de red 172.16.3.0/24 y se conecta al link ejemplo: demostracion.telepresencia.com.ar esta pagina no abre porque supuestamente no estan abiertos los puertos 17990, 17991, 17992 y 50000-65535 de entrada, pero no entiendo si esto es posible, ya que cuando mi equipo sale a internet a buscar ese link el sale con la ip publica que tiene configurada la interfaz del FortiGate entonces como se puede hacer para cuando demostracion.telepresencia.com.ar me responda por los puertos mencionados la comunicacion se logre establecer.
Creo que eso no es posible, no se si estoy equivocado.
el escenario en que me encuentro es que si por ejemplo un usuario que esta dentro del segmento de red 172.16.3.0/24 y se conecta al link ejemplo: demostracion.telepresencia.com.ar esta pagina no abre porque supuestamente no estan abiertos los puertos 17990, 17991, 17992 y 50000-65535 de entrada, pero no entiendo si esto es posible, ya que cuando mi equipo sale a internet a buscar ese link el sale con la ip publica que tiene configurada la interfaz del FortiGate entonces como se puede hacer para cuando demostracion.telepresencia.com.ar me responda por los puertos mencionados la comunicacion se logre establecer.
Creo que eso no es posible, no se si estoy equivocado.
-
morfeoreyes
- Mensajes: 31
- Registrado: 09 Sep 2013, 03:37
Re: NAT de entrada para todo un segmento de red
Les comento que ya encontre el problema, los dns de mi red no estaban resolviendo el nombre demo.telepresencia.com y el proveedor logro confundirme porque me decia que debian estar abiertos los puertos 17990, 17991 de entrada y de salida, sin embargo si la comunicacion se estable por el puerto 80 toda la video conferencia se estable por ahi.