Comunidad FORTIGATE.es

Al fortigate se esta conectando un bot que lo que hace es descargar información de mi base de datos, el problema es que este bot se conecta a alguno de los servidores de mi granja y cuando intento loguear desde los servidores en vez de poder ver la ip del bot veo la IP del fortigate, necesito de alguna manera poder ver la IP de las consultas a web que llegan a travez del fortigate para así poder bloquearlas o generar alguna especie de regla que me permita el bloqueo automatico de la IP despues de cierto numero de peticiones en determinado intervalo de tiempo.

La verdad soy super inexperto con el fortigate y necesito solucionar mas o menos rapido el problema, puesto que dicho bot me consume el ancho de banda y deja a mis clientes sin acceso.

Espero alguien pueda entenderme y tenderme una manito, de ante mano muchas gracias

Hola, la politica de tu vip donde abris el servicio, si tiene nat, sacaselo.

saludos

el problema es que entra por el mismo lugar donde tienen que entrar los clientes, si quito el nat nadie podra entrar

hola, lo probaste???
que ves en el log?

saludos

Los log los encuentro malisimos, solo registran cosas internas y mas encima tienen la hora cambiada, no me muestra nada del ataque externo y el proveedor no me resuelve nada

Hola, tenes servidores de base de datos publicadoa a internet? porque? si alguien chequea esas base, deberias poder agregar las ip publicas de quien si tienen permisos para hacerlo.

el fortigate maneja ips y sensores de DOS.

saludos

Hola, mira el tema de los logs con la hora de los eventos es 100% fiable si es que el firewall tiene la hora correctamente, referente al problema de tu servidor lo mejor que puedes hacer es que le crees una regla solo a tu servidor para internet (source int -> ip server - destination int -> internet con nat activo) recuerda que esta regla debe quedar arriba a la regla general hacia internet (el tipico all -> all), en esa arregla aplicale un proteccion profile o UTM según la versión de firmware que tengas con el ips activo y que venga por defecto en monitorear todo con logs activos, luego en los logs del firewall veras que esta pasando.

ultimas versiones firmware 3
UTM->Intrusion Protection-> Create New -> add filter
Severity : all
Target: all
Os : all
Protocol: all
Application: all
Signature Settings
Enable : Accept
Logging: Enable All
Action: Accept

con esto listo le das ok y te vas a firewall->protection profile->Create New
crea un protection profile en blanco, trata de no marcar nada y en IPS selecciona el recién creado, eso lo aplicas a tu política individual de tu servidor y revisa los logs.

si tienes la version 4 de firmware es casi lo mismo

UTM->Intrusion Protection->Create New->Create Filter
aca deja lo mismo que arriba seleccionado y para loguear en el firewall

Action When Signature Is Triggered: Monitor All

Luego te vas a la política creada (Firewall policy) activas UTM y seleccionas tu IPS en Enable IPS

con eso te pones a ver los logs y ver si el firewall reconoce el tipo de ataque una vez que te diga el log te metes al IPS en UTM , entonces agrega el nombre del ataque y lo bloqueas.

espero que te sirva como orientación, mi explicación no es muy entendible pero a si podrás ver que pasa.

Hola, una politica de firewall sin vip ????