Deny de tráfico que tiene regla especifica "permit"

[aceacero]

Hola,

Tengo una política que permite el puerto 6129 (dammeware) de un origen a un destino.
Un usuario con IP X intenta acceder a la IP Y y abre la conexión correctamente.
La conexion tras 20 segundos, se cierra.

Los logs del FW muestran hits en la política de PERMIT y acaba mostrando un DENY porque no encuentra ninguna regla y aplica el default deny... de un tráfico que ha funcionado 20 seg...

Raro...

¿A alguien le ha pasado algo parecido??

Gracias.

[gabyrossi]

hola, el puerto lo configuraste como un servicio custom? podrias mostrarlo?

saludos.

[aceacero]

Fortigate incident.docx

adjunto detalles.

[gabyrossi]

hola, ok perto sigo sin ver el sertvicio creado "TCP_6129" mostrame como lo configuraste.

[aceacero]

tcp6129.jpg

[gabyrossi]

ok, eso esta bien.
y estas seguro que intenta ir por la red/politica correcta?

tenes policy routes¿?

[aceacero]

Hola,
Hemos visto que está haciendo cosas raras... El tráfico lo clasifica por la interface que le da la gana, por lo que produce routing asimétrico y lo descarta por seguridad antispoofing. Voy a reiniciarlo esta noche y he abierto caso con Fortinet por si no se soluciona con el reinicio.
Un ping desde mi PC hacia una red, la primera vez pasa por la interface correcta, pero la segunda pasa por otra interface del mismo VDOM , pero que no es la que lo gestiona... raro raro...

[gabyrossi]

hola, la interface por donde sale es una wan? o una interface con red interna?

[aceacero]

Hola,

Finalmente descubrí qué pasaba.

Efectivamente era un tema de routing ajeno al FW. Había un Cisco ASA que tenía una ruta incorrecta y enviaba el tráfico a una interface que no correspondía. y por otro lado, descubrimos un "bucle" en una VLAN configurada entre un router MPLS y la red interna.

Gracias por vuestras aportaciones.