0

Configuración Fortigate – Políticas de enrutamiento

Hola a tod@s.

En este post vamos a ver como configurar las políticas de enrutamiento en un firewall Fortigate 50E.

  • Antes de comenzar vamos a aclarar que sólo tenemos configurada una salida hacia Internet a través de la WAN1, dónde tenemos configurada una ruta estática como salida por defecto:

  • Toda mi infraestructura de red la tengo diseñada con una SuperRed 192.168.0.0/16, y a partir de esta red voy haciendo subnetting.
  • Las primeras políticas de enrutamiento que vamos a crear van a ser para evitar la salida por Internet cuando la red sea de rango privado (192.168.0.0/16, 172.16.0.0/12 y 10.0.0.0/8), es decir, que no enrute hacia internet las redes de rango privado y corte la conexión, para ello nos vamos a Red > Políticas de enrutamiento > Crear Nuevo:

  • En esta política evitamos el tráfico hacia Internet desde la red 192.168.0.0/16 hacia el rango 10.0.0.0/8:

  • En esta política evitamos el tráfico hacia Internet desde la red 192.168.0.0/16 hacia el rango 172.16.0.0/12:

  • En esta política evitamos el tráfico hacia Internet desde la red 192.168.0.0/16 hacia el rango 192.168.0.0/16:

  • Con estas tres políticas evitamos que se enrute hacia Internet desde la red origen 192.168.0.0/16 hasta las tres redes de clase privada A, B y C.
  • Ahora haremos lo mismo, pero tomando como origen la red privada de clase B 172.16.0.0/12 y como destino las tres redes de clase privada A, B y C, aquí no tengo configurada ninguna interface de red, pero la pongo por si algún día configuro alguna de las interfaces del firewall en este direccionamiento:

  • Y también haremos lo mismo, pero tomando como origen la red privada de clase A 10.0.0.0/8 y como destino las tres redes de clase privada A, B y C, aquí no tengo configurada ninguna interface de red, pero la pongo por si algún día configuro alguna de las interfaces del firewall en este direccionamiento:

  • Ahora vamos a generar otras políticas de enrutamiento para indicarle a cada una de las redes que tenemos configurada en nuestro firewall, cuál va a ser su salida hacia Internet, en mi caso, sólo tenemos una salida hacia Internet por la WAN1 que está conectada a un router FTTH con dirección IP 192.168.1.1, por lo tanto, todas las redes van a salir por el mismo sitio, pero si en un futuro tenemos otra salida hacia Internet por la WAN2 o incluso por la WAN1 pero a otro router distinto (por ejemplo con la IP 192.168.1.2), el tener configuradas estas políticas nos va a venir bien para que cada red salga a Internet por dónde nos interese, voy a mostrar sólo la política de enrutamiento para una de nuestras redes (DMZ) ya que para las demás será exactamente igual, para ello nos vamos a Red > Políticas de enrutamiento > Crear Nuevo:

  • Para las demás redes hacemos lo mismo, quedando por tanto de la siguiente manera:

 

Saludos y espero que os sea de ayuda 😉

jramos

Técnico Superior STI

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.