[GTER] RES: RES: Firewall Fortigate/Fortinet
Jacques C. de Beijer
jacques.beijer at unimedbelem.com.br
Wed Aug 8 14:42:42 -03 2012
Fabrício,
Muito obrigado.
O caminho é por ae mesmo.
Agora estou vendo uma forma de inserir as regras via backup e depois restaurar esse backup.
Inserir mais de 150 regras de firewall nele pela web é muito cansativo.
----- Mensagem original -----
De: "Fabricio Tadeu Rodrigues Ramirez" <fabricio.ramirez at primehost.com.br>
Para: "Grupo de Trabalho de Engenharia e Operacao de Redes" <gter at eng.registro.br>
Enviadas: Terça-feira, 7 de Agosto de 2012 17:05:01
Assunto: [GTER] RES: RES: Firewall Fortigate/Fortinet
Vamos la .... vamos ver se consigo te ajudar por e-mail.
Chain1:
No Static routes, você tem que adicionar as duas rotas de saída.
Voce cria um IP POOL para cada IP (fica perto do VIP).
Voce cria uma Policy onde uma delas saira somente pela porta 94, marca a opção NAT e selecione o Ip POOL que você quer
Voce criar outra policy saindo por todas as portas, marca a opção NAT e selecione o IP POOL que você quer.
Lembre que a regra com saída para a porta 94 tem que ficar a cima da regra com saída para todas as portas.
O IP POOL é usado para você sair com mais de um ip pela interface, porem se você colocar um único IP, saira somente com esse IP.
Chain2:
Isso eh simples de fazer.
Procure pela opção VIRTUAL IP (VIP).
La você seleciona a porta origem, o ip externo, o ip interno e as portas.
Para resolver esse caso, recomendo que você crie 2 vips, um vindo o ip da internet e outro VIP interno.
Att,
Fabricio Ramirez
-----Mensagem original-----
De: gter [mailto:gter-bounces at eng.registro.br] Em nome de Jacques C. de Beijer
Enviada em: terça-feira, 7 de agosto de 2012 15:53
Para: Grupo de Trabalho de Engenharia e Operacao de Redes
Assunto: Re: [GTER] RES: Firewall Fortigate/Fortinet
Sim está no modo NAT.
Vou traduzir a regra do iptables, e vc me diz se consegue implementar isso no fortigate.
Chain1:
iptables -t nat -A POSTROUTING -s 1.1.1.123 -d 0.0.0.0/0 -p tcp --dport 94 -o eth1 -j SNAT --to-source 1.1.1.159 Na interface de saída eu tenho dois ips 1.1.1.123 e 1.1.1.159 (/24), sendo que todo tráfego que sai para 0.0.0.0/0.0.0.0 por default sai com o ip 1.1.1.123, mas eu quero que tudo que seja com destino a porta 94, saia com o ip 1.1.1.159
Chain2:
iptables -t nat -A PREROUTING -p tcp -s 189.220.198.127 --dport 647 -d 1.1.1.25 -j DNAT --to 10.10.19.110:61758 Tudo que vier do ip externo 189.220.198.127 com destino a porta 647 do alias 1.1.1.25 do meu firewall na wan1, ele redirecione para o meu ip lan 10.10.19.110 na porta 61758.
Basicamente isto.
----- Mensagem original -----
De: "Fabricio Tadeu Rodrigues Ramirez" <fabricio.ramirez at primehost.com.br>
Para: "Grupo de Trabalho de Engenharia e Operacao de Redes" <gter at eng.registro.br>
Enviadas: Terça-feira, 7 de Agosto de 2012 15:35:22
Assunto: [GTER] RES: Firewall Fortigate/Fortinet
Boa Tarde!
Eu não conheço nada de iptables, porem tenho conhecimento de Fortinet.
O que você esta precisando , especificamente.
O fortigate esta no modo NAT ?
Att,
Fabrício Ramirez
-----Mensagem original-----
De: gter [mailto:gter-bounces at eng.registro.br] Em nome de Jacques C. de Beijer
Enviada em: terça-feira, 7 de agosto de 2012 09:52
Para: Grupo de Trabalho de Engenharia e Operacao de Redes
Assunto: [GTER] Firewall Fortigate/Fortinet
Pessoal,
Alguém já utilizou um firewall Fortigate da Fortinet?
Estou fazendo a migração para uma empresa de um firewall linux para esse fortigate. Mas ainda não localizei a opção de alias d e ips, consequentemente não consigo implementar a tradução de regras simples do tipo:
iptables -t nat -A POSTROUTING -s 1.1.1.123 -d 0.0.0.0/0 -p tcp --dport 94 -o eth1 -j SNAT --to-source 1.1.1.159 iptables -t nat -A PREROUTING -p tcp -s 189.220.198.127 --dport 647 -d 1.1.1.25 -j DNAT --to 10.10.19.110:61758
Sendo a rede 1.1.1.0/24 na WAN1 e 10.10.0.0/16 na lan
Alguém já implementou isto?
abcs
--
gter list https://eng.registro.br/mailman/listinfo/gter
--
gter list https://eng.registro.br/mailman/listinfo/gter
--
gter list https://eng.registro.br/mailman/listinfo/gter
--
gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list