0

Configuración Fortigate – Políticas de enrutamiento

Hola a tod@s.

En este post vamos a ver como configurar las políticas de enrutamiento en un firewall Fortigate 50E.

  • Antes de comenzar vamos a aclarar que sólo tenemos configurada una salida hacia Internet a través de la WAN1, dónde tenemos configurada una ruta estática como salida por defecto:

  • Toda mi infraestructura de red la tengo diseñada con una SuperRed 192.168.0.0/16, y a partir de esta red voy haciendo subnetting.
  • Las primeras políticas de enrutamiento que vamos a crear van a ser para evitar la salida por Internet cuando la red sea de rango privado (192.168.0.0/16, 172.16.0.0/12 y 10.0.0.0/8), es decir, que no enrute hacia internet las redes de rango privado y corte la conexión, para ello nos vamos a Red > Políticas de enrutamiento > Crear Nuevo:

  • En esta política evitamos el tráfico hacia Internet desde la red 192.168.0.0/16 hacia el rango 10.0.0.0/8:

  • En esta política evitamos el tráfico hacia Internet desde la red 192.168.0.0/16 hacia el rango 172.16.0.0/12:

  • En esta política evitamos el tráfico hacia Internet desde la red 192.168.0.0/16 hacia el rango 192.168.0.0/16:

  • Con estas tres políticas evitamos que se enrute hacia Internet desde la red origen 192.168.0.0/16 hasta las tres redes de clase privada A, B y C.
  • Ahora haremos lo mismo, pero tomando como origen la red privada de clase B 172.16.0.0/12 y como destino las tres redes de clase privada A, B y C, aquí no tengo configurada ninguna interface de red, pero la pongo por si algún día configuro alguna de las interfaces del firewall en este direccionamiento:

  • Y también haremos lo mismo, pero tomando como origen la red privada de clase A 10.0.0.0/8 y como destino las tres redes de clase privada A, B y C, aquí no tengo configurada ninguna interface de red, pero la pongo por si algún día configuro alguna de las interfaces del firewall en este direccionamiento:

  • Ahora vamos a generar otras políticas de enrutamiento para indicarle a cada una de las redes que tenemos configurada en nuestro firewall, cuál va a ser su salida hacia Internet, en mi caso, sólo tenemos una salida hacia Internet por la WAN1 que está conectada a un router FTTH con dirección IP 192.168.1.1, por lo tanto, todas las redes van a salir por el mismo sitio, pero si en un futuro tenemos otra salida hacia Internet por la WAN2 o incluso por la WAN1 pero a otro router distinto (por ejemplo con la IP 192.168.1.2), el tener configuradas estas políticas nos va a venir bien para que cada red salga a Internet por dónde nos interese, voy a mostrar sólo la política de enrutamiento para una de nuestras redes (DMZ) ya que para las demás será exactamente igual, para ello nos vamos a Red > Políticas de enrutamiento > Crear Nuevo:

  • Para las demás redes hacemos lo mismo, quedando por tanto de la siguiente manera:

 

Saludos y espero que os sea de ayuda 😉

jramos

Técnico Superior STI

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.