Comunidad FORTIGATE.es

hola soy principiante en la administracion del firewall fortinet 60b, necesito que me ayuden al menos con un ejemplo de como haria para impedir que una maquina con ip fija navegue, ya logre que todos naveguen colocando la politica desde la internal hacia la wan1, ahora necesito limitar a algunos usuarios, como hago, porque al hacer como me dice la logica impide que naveguen todos los usuarios. gracias de antemano

Hola, como estas?
Hay un par de formas, dependiendo de como vayas a seguir despues.

ejemplo 1:

internal a wan1
192.168.1.10/32 (un host) a 0.0.0.0 0.0.0.0 (a internet) any deny
192.168.1.0/24 (toda la lan) a 0.0.0.0 0.0.0.0 (a internet) any aceppt-


en la primera denegas todos los servicios a internet para la ip 10, en la segunda dejas navegar a los demas.

ejemplo 2

haces rangos pensando que la ip 10 y 11 no tienen que navegar:

192.168.1.[1-9] 0.0.0.0 0.0.0.0 (a internet) any aceppt
192.168.1.[12-254] 0.0.0.0 0.0.0.0 (a internet) any aceppt estas 2 politicas pueden ser una sola con los 2 rangos en un misma policy.


Enytonces haces politicias habilitando y sin denegar porque si no habilitas algo por default esta cerrado.

espeor se entienda

saludos
Gabriel

hola muchas gracias, por la informacion, ahora y espero no ser tan fastidioso, cuando estoy en el browser configurando la politica, es donde tengo la duda, quiero saber la informacion que deben aparecer en los campos de la politica, es decir, que coloco en: source, destination, schedule, service, profile, action, from, to, etc. de ese modo tendre mas claro el ejemplo que me das. gracias

hola, eso va a depender que que les vas a habilitar o no.

source los rangos o toda la lan.
destinado en este caso dejas los ceros, porque es todo internet.
schedule es si le vas a dar algun rango de horario para navegar o en cualquier momento.
service, si le vas a restrinfir puertos o any para todo.
profile, es donde aplicaras filtros (antivirus,webfilter,bloqueo p2p,mensajeria,etc)
action si vas a dejar navegar sera accept en otro casi deny.


mucha info en:

[Debes identificarte para poder ver enlaces.]
[Debes identificarte para poder ver enlaces.]
saludos

hola gracias por la ayuda, ya logre restringir por rango de ip, ahora me ocurre algo extraño.
hice un grupo que se llame "sin internet" y alli coloco a todas ip fijas que quiero que no naveguen, pero no resulta no se como hacer a lo mejor me estoy saltando un paso alli y no lo veo si puedes darme una ayuda seria genial gracias

Hola no es necesario hacer politica para no navegar, si las ip no estan en los rangos que hiciste no navegaran.

si tenes varias politicas siempre tenes que poner arriba la que mas detalles tiene:

ejemplo_

politica 1 tiene
ip 192.168.1.10 sale a internet full
politica 2 tiene:
Toda la lan con las restricciones especificas.

si pusieras la politica 1 debajo de la 2, la ip .1.10 tendra las restricciones de la poltiica 2, ya que la ip 1.10 esta dentro del rango de la lan .

saludos
Gabriel