FortiGate incorpora mecanismos para evitar ataques del tipo spoofing de IP, que consisten en modificar la dirección IP de origen de un paquete que el firewall recibe por uno de los interfaces por los que no espera dicha dirección IP de origen.
Esta caracterísitica se tiene que configurar manualmente en algunos Firewalls del mercado, pero FortiGate lo hace automáticamente a partir de las redes IP que tiene configuradas en los distintos interfaces (redes directamente conectadas) y de la tabla de rutas (estáticas o dinámicas). A este mecanismo se le conoce como RPF (Reverse Path Forward) y es de este modo como conoce en que interface espera paquetes de una determinada IP de origen. En el caso de que llegue algún paquete con una IP de origen no esperada a través de un interface, FortiGate lo descartará.
La forma de ver si los paquetes se están descartando por este motivo, sería ejecutando un debug flow (ver http://fortixpert.blogspot.com.es/2014/04/diagnosticar-flujos-de-trafico-en.html) y verificar que el mensaje que obtenemos es el siguiente:
id=20085 trace_id=5 msg=»reverse path check fail, drop«
En el caso de los paquetes que provienen de IP´s de internet, estos deben llegar al equipo a través del interface donde está configurada la ruta por defecto.
Si bien el mecanismo RFP del FortiGate se puede deshabilitar, no es recomendable hacerlo, excepto para probar si estamos teniendo problemas de routing asimétrico y determinar el origen del problema. El comando de CLI que deshabilita RFP es (en el caso de tener VDOM, se hace para cada VDOM y solo aplica en modo NAT, no en transparente):
config system settings
set asymroute enable
end
Otra consideración a tener en cuanta es que al deshabilitar RFP el firewall no puede realizar “Statefull inspection”.
Fuente: fortixpert
Fortigate Peru Fortinet Perú Vmware Double Take HP Cisco Symantec Juniper Piura Trujillo Chiclayo Chimbote Ica
Grid Solutions es partner oficial de Fortinet, contamos con la experiencia en todo tipo de configuraciones. Si cuenta con alguna necesidad referente a equipos Fortigate u otros no dudes en Contactarnos.