Duda con Firewall authentication (identity-based policies)
Publicado: 02 Jun 2012, 13:20
Buenos días compañeros,
Soy nuevo en el foro, y nuevo con Fortinet. Dado que cambié de trabajo me obligan a certificarme cuanto antes en fortinet y claro, me surjen algunas dudas que estoy viendo en la maqueta que estoy montando.
El problema que tengo ahora es que me estoy liando mucho con el tema de Firewall authentication (identity-based policies) .
Os indico como esta mi "mini maqueta"
LAN -10.100.100.0/24 -------------------------WAN- 192.168.0.1/30-----------------------------------192.168.0.2/30 --ROUTER ADSL------------ NATEADO TODO HACIA LA 192.168.0.1-INTERNET
Estoy haciendo pruebas y me encuentro con muchos problemas con estas configuraciones de autenticación.
A día de hoy en la maqueta tengo 5 reglas aplicadas en sendido LAN-->WAN
Las 3 primeras son para denegar servicios tipo tracerouter, ICMP-any, etc etc y las ultimas reglas son con este objetivo:
4ª -Se trata de un permit total. He creado un grupo de usuarios y lo he añadido a esta regla marcando la opción identity based policy y añadiendola.
5ª- Un permit total pero solo para gente que no esté identificada en la que hago restricciones.
El problema es que una vez que lo estoy probando y intento navegar, me sale el famoso cuadro de logueo. Si me logueo, todo es correcto, tego acceso total. Mi duda es que una vez que estoy identificado las 3 primeras reglas que tenía no hacen matching ahora ( antes si lo hacían y no podía hacer tracerts, ping etc ). ¿Por qué sucede esto ? Entiendo que tambien debian ser evaluadas...
La otra duda es que no sé comoe evaluar la ultima regla. Lo digo porque yo entiendo que si fallase el logueo debería de saltarse la regla y entrar por la última, para la que tiene como objetivo los invitados. El problema es que el logueo aparece siempre, aunque falle 100 veces seguidas, y no veo por ningún lado donde configurar el parametros de intentos máximos antes de dar por fallida la autenticación ( lo hice por consola pero sigue igual ... ) y que pase a la última
Perdonad si no me he explicado bien, pero ya he revisado documentación y probado cosas y no veo la solución. Se me engancha constantemente todo en esa regla y no sé como hacer. Igual tampoco tengo claro al 100% el funcionamiento me da a mi,..
Soy nuevo en el foro, y nuevo con Fortinet. Dado que cambié de trabajo me obligan a certificarme cuanto antes en fortinet y claro, me surjen algunas dudas que estoy viendo en la maqueta que estoy montando.
El problema que tengo ahora es que me estoy liando mucho con el tema de Firewall authentication (identity-based policies) .
Os indico como esta mi "mini maqueta"
LAN -10.100.100.0/24 -------------------------WAN- 192.168.0.1/30-----------------------------------192.168.0.2/30 --ROUTER ADSL------------ NATEADO TODO HACIA LA 192.168.0.1-INTERNET
Estoy haciendo pruebas y me encuentro con muchos problemas con estas configuraciones de autenticación.
A día de hoy en la maqueta tengo 5 reglas aplicadas en sendido LAN-->WAN
Las 3 primeras son para denegar servicios tipo tracerouter, ICMP-any, etc etc y las ultimas reglas son con este objetivo:
4ª -Se trata de un permit total. He creado un grupo de usuarios y lo he añadido a esta regla marcando la opción identity based policy y añadiendola.
5ª- Un permit total pero solo para gente que no esté identificada en la que hago restricciones.
El problema es que una vez que lo estoy probando y intento navegar, me sale el famoso cuadro de logueo. Si me logueo, todo es correcto, tego acceso total. Mi duda es que una vez que estoy identificado las 3 primeras reglas que tenía no hacen matching ahora ( antes si lo hacían y no podía hacer tracerts, ping etc ). ¿Por qué sucede esto ? Entiendo que tambien debian ser evaluadas...
La otra duda es que no sé comoe evaluar la ultima regla. Lo digo porque yo entiendo que si fallase el logueo debería de saltarse la regla y entrar por la última, para la que tiene como objetivo los invitados. El problema es que el logueo aparece siempre, aunque falle 100 veces seguidas, y no veo por ningún lado donde configurar el parametros de intentos máximos antes de dar por fallida la autenticación ( lo hice por consola pero sigue igual ... ) y que pase a la última
Perdonad si no me he explicado bien, pero ya he revisado documentación y probado cosas y no veo la solución. Se me engancha constantemente todo en esa regla y no sé como hacer. Igual tampoco tengo claro al 100% el funcionamiento me da a mi,..