Buenos días:
Tengo una problemática que se podría resolver haciendo un Destination NAT, pero no sé si se puede hacer en el Forti.
La situación es la siguiente: Pongo ejemplos:
192.168.1.1-port2 (FW-FORTI) 172.30.10.254-port1
Tengo una red externa (192.168.1.0/24 port2) que entra nateada a mi Intranet (172.30.10.0/24 port1). Hay un servicio FTP al que atacan los usuarios externos por la IP 172.30.10.5. El problema es que ese servicio está tras un "cluster" que no funciona religiosamente y la conexión de datos por el puerto 20 la devuelve desde la IP 172.30.10.1.
Aquí el FW no ve esta conexión como Related y no la admite y mucho menos la pasa al cliente origen de la conexión FTP.
Se me había ocurrido hacer un DNAT de esa IP (172.30.10.5) a la que atacan los clientes externos para que ataque directamente a la 172.30.10.1 y así cuando el servidor FTP abra la conexión de datos por el puerto 20 el FW la "relacione" y se la pase al cliente original. Gráficamente:
Cliente -->> 172.30.10.5:21 (FW-FORTI) --> Source:172.30.10.254 Dest.:172.30.10.1:21
Al hacer una Virtual IP con estos datos: IP Externa: 172.30.10.5 --- Interface: port2 --- Destination:172.30.10.1 me deja de funcionar cualquier conexión hacia la 172.30.10.5.
¿Es posible hacer esto con un Forti?
Saludos,
Olaf
DNAT
Re: DNAT
hola, no tewrmino de entender, que es lo que necesitas? abrir un puerto ftp desde internet hacia tu ip interna? o es un problema interno?
no me queda claro.
saludos
no me queda claro.
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: DNAT
Hola:
Lo que intento hacer es modificar el campo Destination IP de las cabeceras que me entran por un interfaz y sacarlo por otra interfaz.
O sea, que si me llegan por la interfaz port2 peticiones a la IP 172.30.10.5, necesito sacarlas nateadas en origen con la IP de la interfaz port1 del FW y el Destino también nateado con la IP 172.30.10.1 por la interfaz port1. No sé si queda claro.
Gracias y saludos,
Olaf
Lo que intento hacer es modificar el campo Destination IP de las cabeceras que me entran por un interfaz y sacarlo por otra interfaz.
O sea, que si me llegan por la interfaz port2 peticiones a la IP 172.30.10.5, necesito sacarlas nateadas en origen con la IP de la interfaz port1 del FW y el Destino también nateado con la IP 172.30.10.1 por la interfaz port1. No sé si queda claro.
Gracias y saludos,
Olaf
Re: DNAT
gabyrossi escribió:hola, si queres que salga con la ip de la interface podes natear la politica o hacer un ip pool.
saludos
Si, pero el problema es que no puedo natear la ip de destino. Bueno, más bien el problema es que no puedo poner la IP Virtual 172.30.10.5 en la interfaz port2 y que el destino sea 172.30.10.1 en la interfaz port1. Entiendo que es porque tiene en las rutas que la red 172.30.10 está en la interfaz port1.
Saludos,
Olaf
Re: DNAT
gabyrossi escribió:hola, sigo sin entender,
poodrias hacer algun diagrama con las ip? porque me perdi...
Red 192.168.1 (Clientes FTP)
|
|
192.168.1.1 (Interfaz Externa)
FW-FORTI
172.30.0.254 (Interfaz Interna)
|
|
Servidor "Cluster" FTP (172.30.10.5)
Los clientes FTP hacen un FTP a la IP 172.30.10.5. Tienen en sus rutas que la red 172.30.10 es alcanzable por la IP 192.168.1.1.
La conexión se abre bien, el FW la natea con la ip de su interfaz Interna, pero al hacer un dir (FTP Data) el servidor FTP abre la conexión hacia el cliente con la dirección origen 172.30.10.1 en vez de la 5, y el FW no lo toma como una related y no sabe que hacer con ella. Es un fallo del cluster FTP, pero estaba pensando si se podría solucionar cambiando la ip a la que atacan los clientes por la 172.30.10.1 y entonces si funcionaria, pero al definir la VIP con el mismo rango en los dos sitios deja de funcionar todas las conexiones que van hacia la 172.30.10.5.
Re: DNAT
FortiR escribió:Hola:
Teniendo tan controladas las IPs del clúster, podrías crear una regla que permita el FTP desde la .1 hacia el exterior, mientras solucionas los problemas del clúster.
Esto hará que te funcione.
Saludos,
El problema es que al entrar la conexión nateada, el Servidor FTP abre el socket de datos a la IP del Forti, y el Forti la rechaza al ser una conexión nueva que el no ha pedido...
Re: DNAT
gabyrossi escribió:Hola, tenes algun otro problemas estos casos sos usados siempre y funcionan
saludos
Hola Gaby:
Ya sé que tengo un problema, lo he puesto en el primer post. La pregunta era como resolverlo.
Ya está resuelto. No puedo tener definido un host en una interface e intentar hacer un DNAT (Virtual IP) con una IP definida en otra red.
Gracias por vuestra colaboración.
Saludos,
Olaf