0

Configurar Web Proxy transparente en Firewall Fortigate

Publicada en por Jose Ramon Ramos Gata

Hola a tod@s,

En este post vamos a ver cómo configurar un web proxy transparente en un firewall Fortigate, un proxy transparente es una combinación de un proxy con NAT para que las conexiones se enruten dentro del proxy y el cliente no tenga que hacer ninguna configuración. En la mayoría de los casos en los que se emplea esta opción, el propio usuario desconoce que se esté utilizando un proxy.

  • Para empezar, lo primero que vamos a realizar es habilitar en las características de nuestro firewall el Proxy Explícito, para ello accedemos a Sistema > Visibilidad de Característica > Funciones de seguridad y lo habilitamos:

  • Lo siguiente que vamos a realizar será editar una de nuestras políticas de salida a Internet:

  • En el Modo de inspección, lo configuraremos como Basado en Proxy, y aplicamos cambios:

  • Una vez aplicado el cambio, vamos a editar la política por la CLI:

  • Añadimos a la configuración set http-policy-redirect enable:

  • Una vez introducido el comando, vemos que en la política ya nos aparece esta nueva opción:

  • Habilitamos también en la regla, Inspección SSL > certificate-inspection:

  • Ahora debemos acceder a Políticas y Objetos > Política de Proxy, como podemos ver, nos ha creado una política implícita de DENY, denegándonos el acceso a cualquier sitio web:

  • Ahora desde cualquier equipo de nuestra LAN se le va a denegar el acceso hacia internet:

 

  • Para habilitar la salida a Internet pasando por el web proxy, accedemos a Políticas y Objectos > Política de Proxy > Crear nuevo:

  • Nos creamos esta regla como web transparente, dónde le indicamos a nuestra LAN, que le permitimos la conexión hacia Internet, a través del web proxy:

  • Aquí la tenemos creada:

  • Si accedemos a la misma web de antes, vemos que ya tenemos acceso:

  • Ahora nos vamos a crear estos objetos de dirección, que son los que vamos a utilizar para denegar en las reglas las webs que nos interesen, Políticas y Objetos > Dirección > Crear nuevo > Dirección:

  • Configuramos la categoría como Dirección de Proxy, le indicamos un Nombre, seleccionamos el patrón como Coincidencia de Expresión Regular de Host, y le ponemos el patrón que nos interese:

  • Nos hemos creado estos objetos de dirección de proxy:

  • Ahora nos vamos a crear esta regla para denegar la web o las webs que nos interesen, Políticas y Objectos > Política de Proxy > Crear nuevo:

  • En esta regla denegamos a nuestra LAN el acceso a las webs indicadas:

  • Como podemos ver, aquí la tenemos, y la ubicamos por encima de la regla de permitir todo el acceso a Internet:

  • Ahora si intentamos acceder a cualquiera de estas webs nos va a indicar que no es posible, que tenemos el acceso denegado:

  • Vemos que ya tenemos tráfico de denegación en nuestras reglas:

 

Saludos y espero que os sea de ayuda 😉

Jose Ramon Ramos Gata

Técnico Superior STI

More Posts

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.