1

Configuración Fortigate – Políticas de enrutamiento

Publicada en por jramos

Hola a tod@s.

En este post vamos a ver como configurar las políticas de enrutamiento en un firewall Fortigate 50E.

  • Antes de comenzar vamos a aclarar que sólo tenemos configurada una salida hacia Internet a través de la WAN1, dónde tenemos configurada una ruta estática como salida por defecto:

  • Toda mi infraestructura de red la tengo diseñada con una SuperRed 192.168.0.0/16, y a partir de esta red voy haciendo subnetting.
  • Las primeras políticas de enrutamiento que vamos a crear van a ser para evitar la salida por Internet cuando la red sea de rango privado (192.168.0.0/16, 172.16.0.0/12 y 10.0.0.0/8), es decir, que no enrute hacia internet las redes de rango privado y corte la conexión, para ello nos vamos a Red > Políticas de enrutamiento > Crear Nuevo:

  • En esta política evitamos el tráfico hacia Internet desde la red 192.168.0.0/16 hacia el rango 10.0.0.0/8:

  • En esta política evitamos el tráfico hacia Internet desde la red 192.168.0.0/16 hacia el rango 172.16.0.0/12:

  • En esta política evitamos el tráfico hacia Internet desde la red 192.168.0.0/16 hacia el rango 192.168.0.0/16:

  • Con estas tres políticas evitamos que se enrute hacia Internet desde la red origen 192.168.0.0/16 hasta las tres redes de clase privada A, B y C.
  • Ahora haremos lo mismo, pero tomando como origen la red privada de clase B 172.16.0.0/12 y como destino las tres redes de clase privada A, B y C, aquí no tengo configurada ninguna interface de red, pero la pongo por si algún día configuro alguna de las interfaces del firewall en este direccionamiento:

  • Y también haremos lo mismo, pero tomando como origen la red privada de clase A 10.0.0.0/8 y como destino las tres redes de clase privada A, B y C, aquí no tengo configurada ninguna interface de red, pero la pongo por si algún día configuro alguna de las interfaces del firewall en este direccionamiento:

  • Ahora vamos a generar otras políticas de enrutamiento para indicarle a cada una de las redes que tenemos configurada en nuestro firewall, cuál va a ser su salida hacia Internet, en mi caso, sólo tenemos una salida hacia Internet por la WAN1 que está conectada a un router FTTH con dirección IP 192.168.1.1, por lo tanto, todas las redes van a salir por el mismo sitio, pero si en un futuro tenemos otra salida hacia Internet por la WAN2 o incluso por la WAN1 pero a otro router distinto (por ejemplo con la IP 192.168.1.2), el tener configuradas estas políticas nos va a venir bien para que cada red salga a Internet por dónde nos interese, voy a mostrar sólo la política de enrutamiento para una de nuestras redes (DMZ) ya que para las demás será exactamente igual, para ello nos vamos a Red > Políticas de enrutamiento > Crear Nuevo:

  • Para las demás redes hacemos lo mismo, quedando por tanto de la siguiente manera:

 

Saludos y espero que os sea de ayuda 😉

jramos

Técnico Superior STI

More Posts

Un comentario

  1. Buenas noches, que gran contenido, tengo el mismo firewall y me esta viniendo super bien estas guias, tengo una duda, aqui en la ultima parte, estas configurando el GW para salir a internet de cada red, pero en este post, configuras una ruta estatica para la salida tambien a internet en el inicio.
    ¿cual seria la diferencia?
    Tambien dentro de poco pondre en modo bridge el router de la operadora y configurare el PPOE en el FW y asumira toda la carga el mismo.
    Respecto a todas tus guias de configuracion ¿que deberia cambiar cuando lo ponga en modo bridge?
    Gracias un Saludo

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.