Buenas tardes y gracias de antemano.
Tengo un pequeño problema al intentar crear una política mediante la cual solamente una ip externa pueda acceder a un servicio de una ip local mía.
Escenario:
- Cliente con ip externa xx.xx.---.xx quiere conectarse a mi servicio que está en mi ip local 192.168.2.1:3000
Dentro de mi Firewall he creado una política
Incoming Interface: any
Outgoing Interface: any
Source: xx.xx.---.xx/32
Destination 192.168.2.1
Service 3000
Si pongo en action Deny me funciona para bloquear esa ip específica del cliente y que cualquier ip pueda acceder externamente, pero me gustaría saber de que forma podría hacer que si fuese Accept solamente esa ip xx.xx.---.xx tuviese acceso y ninguna otra pudiese.
Entiendo que podría crear una política que bloquease todas las ips y luego otra que que diese acceso a esta ip en primer lugar. Pero me gastaría saber si existe una opción "más eficaz"
Muchas gracias por la ayuda.
Saludos
Acceso desde una única ip externa a una ip local
Re: Acceso desde una única ip externa a una ip local
¿Podrías ser más claro para plantear el problema? La verdad es que no se entiende mucho, ni tampoco entregas detalles.
- ¿La IP de orgien es pública?
- ¿Por qué según tú declarar lo más específico primero no es eficaz? Eso denota tu nulo conocimiento de firewalling.
- ¿La IP de orgien es pública?
- ¿Por qué según tú declarar lo más específico primero no es eficaz? Eso denota tu nulo conocimiento de firewalling.
Saludos!
_____________________________________________________________
Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
_____________________________________________________________
Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
Re: Acceso desde una única ip externa a una ip local
Vale, lo intento explicar de otra forma que sea más clara.
Mi firewall tiene una ip fija (11.11.111.11). En mi firewall tengo mapeados puertos a otros equipo de mi red interna. Por ejemplo si escribes 11.11.111.11:3000 apunta a la ip interna de un equipo mío que es 192.168.2.1:3000 y que proporciona un servicio.
La intención es que una persona que está trabajando externamente en otro país y tiene una ip fija 22.22.222.22, pueda acceder a 11.11.111.11:3000.
El objetivo es que solamente se pueda acceder a 11.11.111.11:3000 desde la ip 22.22.222.22 y ninguna otra.
Saludos y gracias por el comentario
Mi firewall tiene una ip fija (11.11.111.11). En mi firewall tengo mapeados puertos a otros equipo de mi red interna. Por ejemplo si escribes 11.11.111.11:3000 apunta a la ip interna de un equipo mío que es 192.168.2.1:3000 y que proporciona un servicio.
La intención es que una persona que está trabajando externamente en otro país y tiene una ip fija 22.22.222.22, pueda acceder a 11.11.111.11:3000.
El objetivo es que solamente se pueda acceder a 11.11.111.11:3000 desde la ip 22.22.222.22 y ninguna otra.
Saludos y gracias por el comentario
Re: Acceso desde una única ip externa a una ip local
Ahora está más claro.
Entonces coloca una política de firewall en sentido WAN -> LAN (en lo posible de las primeras) que sólo permita el tráfico con origen 22.22.222.22 hacia la VIP que tienes asociada a 192.168.2.1:3000. Fíjate de todas maneras que más abajo no haya alguna política que sea más general donde esté permitido el puerto 3000, de lo contrario no será efectiva.
Con esto vas a sólo permitir las conexiones a ese servicio desde la IP en particular y el resto será denegado.
También tienes una segunda manera de hacerlo, donde limitas el origen en la misma VIP y no en la política de firewall. Revisa este documento:
[Debes identificarte para poder ver enlaces.]
Entonces coloca una política de firewall en sentido WAN -> LAN (en lo posible de las primeras) que sólo permita el tráfico con origen 22.22.222.22 hacia la VIP que tienes asociada a 192.168.2.1:3000. Fíjate de todas maneras que más abajo no haya alguna política que sea más general donde esté permitido el puerto 3000, de lo contrario no será efectiva.
Con esto vas a sólo permitir las conexiones a ese servicio desde la IP en particular y el resto será denegado.
También tienes una segunda manera de hacerlo, donde limitas el origen en la misma VIP y no en la política de firewall. Revisa este documento:
[Debes identificarte para poder ver enlaces.]
Saludos!
_____________________________________________________________
Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
_____________________________________________________________
Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
Re: Acceso desde una única ip externa a una ip local
Perfecto Andrés. Muchas gracias por la información. Saludos