Yearly Archives: 2016

Home / 2016

Forwarder DNS en Fortinet FortiGate

FortiGate se puede configurar como un servidor de DNS, pero en alguna ocasión nos puede interesar que las consultas a un determinado dominio DNS, se reenvíen a otro servidor de DNS. Por ejemplo, podemos configurar el Fortigate como servidor de DNS de nuestros usuarios, de forma que todas las consultas a nombres DNS de internet, las resuelva el propio Firewall, pero cuando se requiera hacer una consulta interna, el FortiGate puede hacer un forward de la consulta DNS a un servidor interno, por ejemplo un controlador de dominio Microsoft Windows donde queremos que los usuarios puedan consultar los recursos internos.

Para lograr esto, en primer lugar es necesario activar el servicio de servidor DNS en el FortiGate y procurar que los PCs de la red utilicen la IP del FortiGate para realizar las consultas DNS.

IP Anti-Spoofing en Fortinet FortiGate

FortiGate incorpora mecanismos para evitar ataques del tipo spoofing de IP, que consisten en modificar la dirección IP de origen de un paquete que el firewall recibe por uno de los interfaces por los que no espera dicha dirección IP de origen.
Esta caracterísitica se tiene que configurar manualmente en algunos Firewalls del mercado, pero FortiGate lo hace automáticamente a partir de las redes IP que tiene configuradas en los distintos interfaces (redes directamente conectadas) y de la tabla de rutas (estáticas o dinámicas). A este mecanismo se le conoce como RPF (Reverse Path Forward) y es de este modo como conoce en que interface espera paquetes de una determinada IP de origen. En el caso de que llegue algún paquete con una IP de origen no esperada a través de un interface, FortiGate lo descartará.
La forma de ver si los paquetes se están descartando por este motivo, sería ejecutando un debug flow (ver http://fortixpert.blogspot.com.es/2014/04/diagnosticar-flujos-de-trafico-en.html) y verificar que el mensaje que obtenemos es el siguiente:
id=20085 trace_id=5 msg=»reverse path check fail, drop«

Como forzar el failover en un cluster Fortinet Fortigate

Para cambiar el estado de los miembros de un cluster, por ejemplo de Master a Slave, en algunas versiones es posible utilizar el comando

  • «diag sys ha reset-uptime»

Fuente: fortixpert

Posicionar la solución Anti-Virus de Fortinet FortiClient

Seguramente ya conocéis FortiClient (http://www.forticlient.com/), el software anti-virus GRATUITO de Fortinet y disponible tanto para Windows como para MAC. Este producto puede integrarse con equipos ForitGate y FortiAnalyzer, permitiendo que la gestión del mismo: 

Sea centralizada desde el FortiGate (es necesario instalar una licencia en FortiGate para gestionar de forma centralizada más de 10 FortiClients);
El logging se podrá centralizar en FortiAnalyzer, pudiendo también obtener informes.

Configurar VRRP entre un Fortinet FortiGate y un Router Cisco

En las ocasiones en las que se pueda necesitar configurar VRRP entre un FortiGate y un router Cisco, seguir los siguientes pasos:
La configuración ha de realizarse a través de CLI, ya que VRRP no está disponible en FortiGate a través de GUI.

Configuration del FortiGate:

config system interface
edit «port1»
set vdom «root»
set ip 192.168.40.3 255.255.255.0
set allowaccess ping ssh http
set type physical
   set vrrp-virtual-mac enable
config vrrp
edit 40
set vrip 192.168.40.1
next
end
end

Grid Solutions Perú Fortinet Partner

Grid Solutions es partner oficial de Fortinet, contamos con la experiencia en todo tipo de configuraciones. Si cuenta con alguna necesidad referente a equipos Fortigate u otros no dudes en contactarnos.

Entradas

Categorías

Publicaciones recientes

Grid Solutions

Principal

Sucursal

Copyright © 2024 Partner de Fortinet Perú - Fortigate Perú Grid Solution S.R.L | Terminos de Uso |