Comunidad FORTIGATE.es

Buen día, como bloqueo el puerto 53 en mi fortigate 50B?

Saludos.

Buenas,

Supongo que te refieres a bloquearlo de fuera a dentro. Pues si tienes una política que permite el tráfico DNS hacia el interior elimínala, y si lo que tienes es una política que permite el acceso total al interior, crea una nueva política que bloquee las conexiones desde el exterior al interior y la pones encima de la política que permite el acceso.

Saludos.

Hola Felipe, no te entiendo bien. Yo tengo unas reglas las cuales tienen restricciones desde la wan a la lan, casi todas son deny. Pero no veo lo que me comentas.

Lo que pasa es que estoy recibiendo un fuerte ataque y tengo toda la mañana bloqueando IP manualmente y todos los ataques van al puerto 53 que esta abierto y no se como cerrarlo.

Buenas,

El puerto 53 atacado pertenece a uno de los servidores internos de tu infraestructura supongo.

Mira la IP pública que se supone que está siendo atacada y busca la VIP que se corresponda con dicha IP pública. Una vez la has localizado ya sabes que VIP es la que genera el problema, mira tus políticas filtrando por dicha VIP y encuentra donde se permite el acceso a los DNS, si sólo se permite acceso al DNS desactiva temporalmente la política, pero si se permiten más servicios desactiva sólo el servicio DNS o en su defecto crea una nueva política con la VIP comentada y que deniegue el acceso al servicio DNS y deberás colocarla encima de la política que si permitía el acceso.

Te explico un poco mejor el proceso:
1. Encontramos la correspondencia de la IP pública que están atacando.
2. En la GUI (yo tengo FortiOS 5.0 quizás difieran algunas cosas) Firewall Objects->Virtual IP-> Virtual IP se tienen las correspondencias de IP pública con la IP interna y si hay reenvío de puerto esto mismo. Aquí deberás localizar la VIP correspondiente y si existe port forwarding pues buscar específicamente el puerto 53.
3. Una vez hecho esto buscamos en Policy--->Policy--->Policy las políticas que envuelvan a la VIP seleccionada y encontrarás alguna en la que se permita el acceso DNS.
4. Desactiva dicha política si está aislado el servicio, es decir si sólo se trata de DNS, en caso contrario crea una nueva política, con origen la WAN y destino la VIP en cuestión de la red interna selecciona el servicio DNS y deny y la situas encima de la encontrada (para que sea leída antes y se descarten los papeles).
5. Cuando pase la tormenta activas la política si la desactivaste o eliminas/desactivas la nueva política creada.

Espero que te sea útil.

Hola Gracias por la ayuda, lo que hice fue que quite el servidor del Virtual IP, ya no se accede desde la WAN, pero sabes que hice un scaneo de puertos y me responde por el puerto 53. Ya no se como hacer para determinar que dispositivo estaria respondiendo ya que no hay alguno expuesto.

si no necesitas el 53, borra el vip y listo.