Fortigate 300A no aplica las políticas creadas

[dramos]

Hola, soy nuevo en el manejo de este tipo de dispositivos y me ha surgido un problema a la hora de configurar mi dispositivo fortigate 300A, ya que defino una regla para que me bloquee una determinada IP pero hace caso omiso de las mismas.

En este momento tengo la siguiente política definida:

config firewall policy
edit 3
set srcintf "any"
set dstintf "any"
set srcaddr "all"
set dstaddr "all"
set schedule "always"
set service "ANY"
set logtraffic enable
set match-vip enable
next
end

Con lo que yo entiendo que debería bloquear todo el tráfico que le llega al dispositivo. No obstante al realizar pings al mismo, éste me responde y no sé muy bien cual puede ser el fallo, o si para bloquear el tráfico hay que hacerlo de otra forma.

[gabyrossi]

hola y la action cual es?

[dramos]

hola y la action cual es?

La action que defino en esa política es deny, por lo que no sé si puede ser que esté desactivado el uso de políticas, en cuyo caso no sé la forma de habilitarlos, ya que en los logs, en la columna ID de política siempre tiene un valor 0.

[gabyrossi]

eso quiere decir que sale por la politica implicita que esta todo denegado.
no esta estrando por ninguna otra policy

hace un print de pantalla de las politcy a ver...

[dramos]

Al ver las políticas desde la interfaz CLI, obtengo lo siguiente:

Código: Seleccionar todo

show firewall policy
config firewall policy
    edit 1
        set srcintf "any"
        set dstintf "any"
            set srcaddr "10.0.30.253"             
            set dstaddr "all"             
        set schedule "always"
            set service "ANY"             
        set logtraffic enable
    next
end

Y desde la interfaz web obtengo lo que se puede ver en la imagen.

La política por defecto en principio denegaría todo el tráfico no?

Puede ser problema de la creación de un dominio virtual (vdom)?? Ya que según he visto en documentación me ha dado a entender esto, pero a la hora de asignar una dirección ip me obliga a introducir un vdom. No obstante desde la interfaz web veo que tengo desactivado el virtual domain.

[gabyrossi]

hola, a ver .... arranquemos de cero.
Si borras la politica que generaste el trafico esta denegado, por la politica que aparece en amarillo.

Que otra cosa necesitas hacer? habilitar algun trafico en particular para un origen?

saludos.

[dramos]

El caso es que ese sería el comportamiento que espero, pero por contra si borro todas las políticas e incluso haciendo un factory reset, el dispositivo me contesta a los pings, pese a que la política que aparece en amarillo indica lo contrario. He probado todas las opciones que he considerado lógicas y la única razón que veo es que las reglas solo se aplican si se realiza un reenvío, no si un dispositivo realiza ping al propio equipo. ¿Puede que sea eso?

Gracias, saludos.

[gabyrossi]

hola, si quiere hacer ping a un equipo en la misma red no podras bloquearlo, ya que se veran a nivel switch.

[dramos]

No es hacer un ping a un equipo de la misma subred, el caso sería hacer ping desde un equipo a una de las interfaces del fortigate 300A. En este caso ¿tampoco podría bloquearlo?

Gracias.

[gabyrossi]

Hola, a una de las interfaz del fortigate? Si vas a la interfaz, la editas, y le sacas el ping en las opciones de allow access.

saludos

[dramos]

Creo que no me he explicado bien.

En este momento tengo habilitado el acceso mediante ping a la interfaz en concreto, con lo que desde cualquier dispositivo haciendo ping obtengo respuesta (no tiene en cuenta las políticas).

Mi objetivo es crear una "black list" para que determinados equipos no obtengan respuesta. ¿Es esto posible?

saludos

[gabyrossi]

Perdon, pero sigo sin entenderte

[dramos]

A ver me intento explicar mejor.
Para poder acceder al fortinet, tanto haciendo ping como a su interfaz web, he configurado el allowaccess de ese determinado puerto (por ejemplo con IP 10.0.0.1) para que permita tanto ping como http.
Tras hacer esto puedo comprobar que desde cualquier dispositivo que esté en la misma subred (10.0.0.X) que ese puerto puede conectarse tanto a su interfaz web como llegar haciendo ping.

Vale, lo que es explicado anteriormente es el escenario que tengo actualmente. Ahora bien, mi problema surge al intentar hacer lo siguiente:
Dentro de esa subred, que actualmente todos los usuarios tienen acceso, me gustaría crear una lista negra para que determinados equipos (por ejemplo con IP 10.0.0.3) si, por ejemplo, hacen ping a la dirección IP de ese puerto (10.0.0.1) no obtengan respuesta.

Espero haberme explicado mejor. Un saludo

[gabyrossi]

hola, o lo haces con todos o ninguno... dependera de lkois trustes host que configures en los admines.
Ojo, en todos los usuarios admin. si alguno dejas con trusted host 0.0.0.0 va a poder hacer ping o el acceso que tenga la interfaz

[dramos]

hola, o lo haces con todos o ninguno... dependera de lkois trustes host que configures en los admines.
Ojo, en todos los usuarios admin. si alguno dejas con trusted host 0.0.0.0 va a poder hacer ping o el acceso que tenga la interfaz

Hola,
Entonces no puede bloquearse el acceso de determinados equipos? El resto que has comentado no lo he entendido muy bien, te agradecería si me lo pudieses explicar de forma diferente.

Gracias por toda tu ayuda gabyrossi. Un saludo.