Abrir puerto 80

[Antonio82]

Buenos dias a todos. Soy bastante novato en esto. Tengo un Fortinet 50A, y me piden abrir el puerto 80, para poder utilizar un programa desde internet. El programa esta en un servidor con IP: 192.168.1.100. Os explico la situacion.

El router es un cisco 800 con IP interna: 192.168.0.254, este, tiene realizada una regla NAT con la IP externa: 87.126.59.23 --> IP interna 192.168.0.1. Desde Jazztel me dicen que esta todo OK.

El firewall fortinet tiene IP externa: 192.168.0.1, e IP interna 192.168.1.254. No se como plantearlo, ni como hacerlo, necesito ayuda urgente, pero tengo que abrir el puerto 80 para acceder al programa ubicado en el servidor con IP 192.168.1.100. Me es de imaginar que tendre que crear una Virtual IP, y luego meterla en la politica external>internal, pero necesito que me lo expliqueis paso a paso.

Un saludo y gracias.

[gabyrossi]

hola, como estas? Si es tal cual como decis vos.
virtualip, donde pones un nombre, la ip externa del la wan del forti, luego la ip interna del servidor, y luego los puertos que vas a utilizar: en este caso el 80.

Una vez que tenes creada el virtualip, tenes que hacer la politica de external a internal con source all y destino el virtual ip.
Si queres en la politica restringuis tambien el servicio http, asi queda el 80 nada mas.

Algo importante cuando haces esto, es de cambiarle el puerto de administracion del fortigate http, por otro.
eso lo haces desde system -> admin -> settings -> y en http le pones otro numero, ejemplo:8080 o 81 , o el que quieras.

Es recomendable en este tipo de politicas, cuando publicas un servicio a internet agregarle el ips a la politica.

y con eso listo.

saludos
Gabriel

[Antonio82]

Gabriel, muchismas gracias por tu ayuda, me estas aclarando muchas cosas, ya te invitare a unas cervezas. Tengo algunas dudas mas.

En la pantalla de Virtual IP veo lo siguiente:

Name: Nombre de la IP virtual
External interface: Seria External, verdad????
Type: Seria "Port Forwarding"?????
External IP address: IP externa del firewall, segun mis explicaciones seria 192.168.0.1????????
External Service Port: Puerto 80???
Map to IP: 192.168.1.1 (IP servidor)????
Map to Port: 80 ???????

En la pantalla de Policy, veo lo siguiente:

Source
Interface/Zone: Seria External?????
Address Name: Seria all??????
Destination
Interface/Zone: Seria Internal?????
Address Name: Seria el nombre de la Virtual IP que he creado, verdad??????
Schedule: Seria always????
Service: Seria ANY, o HTTP, HTTPS, etc?????
Action: Seria ACCEPT?????

De verdad, muchisimas gracias por vuestra ayuda. Un saludo muy cordial.

[gabyrossi]

hola, correctamente todo lo que decis.
lo unico, en la politicas si queres solo podes dejar como servicio http.

todos los demas esta bien.

espero las cervezas..
jaja

saludos
Gabriel

[Antonio82]

Gabriel, perdona que te vuelva a molestar. Una ultima duda, en la primera respuesta que me das me dices:

"Algo importante cuando haces esto (Abrir el puerto 80), es de cambiarle el puerto de administracion del fortigate http, por otro. Eso lo haces desde system -> admin -> settings -> y en http le pones otro numero, ejemplo:8080 o 81 , o el que quieras."

Hasta ahi bien, pero te cuento, yo ahora entro en el firewall desde el navegador poniendo [Debes identificarte para poder ver enlaces.], tras el cambio del puerto de administracion, podria entrar igual, o deberia de poner [Debes identificarte para poder ver enlaces.] el puerto que le ponga????

De verdad, Gabriel muchas gracias. Gracias a gente como tu, el mundo de la informatica es mucho mas facil. Un saludo muy fuerte.

[gabyrossi]

hola, claro estas entrando igual porque como vos mismo lo decis estas entrando a "https" que es port 443. Y ese no vas a modificar.
cuando hagas el cambio de http que es el 80 por otro, si queres entrar por http en vez de https, tendras que poner la ip xxxx:8080 o el port que sea.

saludos
Gabriel

[Antonio82]

Eres un fenomeno. Gracias

[gabyrossi]

de nada che! saludos

suerte

gabriel

[Antonio82]

Gabriel perdona que te vuelva a molestar. Pero he entrado en system>admin pero no hay ninguna pestaña settings, y no encuentro la zona donde cambiar el puerto de administracion.

Gracias y un saludo.

[gabyrossi]

hola, que firmware tenes? 2.8 ???

se tenes 2.8 , seguramente esta en el cli y hay que buscarlo.

recomendacion: si tenes 2.8 trata de cuando puedas actulizar a 3.0 minimo mr5.

saludos

[gabyrossi]

hola, fijate si por consola escribiendo esto:

config system global
set admin-port <port_number>
end

[Antonio82]

Buenas tardes Gabriel, en la consola he puesto los comandos que tu me has dicho, pero me dice que admin-port no existe. No existe parametro para cambiar el puerto de administracion.O sabes de donde me puedo bajar el firware, soy el informatico nuevo y el firewall mio ya esta registrado y no me han dicho contraseñas. Gracias.

[gabyrossi]

hola, como estas? hay que averiguar si se puede cambair el port de administracion.

igualmente estaria bien que actulicen en firmware ya que tendran mas cosas para hacer y mucho mejor.

deberias poder entrar con el user y passord que crearon cuando registaron la caja.
[Debes identificarte para poder ver enlaces.]

pedilo y entras y bajas el firmware. 3.0 -> mr5 ->pacth5

saludos
Gabriel