Fortigate, objetos dinamicos

Un tipo de objeto curioso (que desconocía), resulta que … si usas Fortimanager para crear una política común para varios firewalls (cosa que es cómoda, pero que aún no tengo claro que sea la mejor opción, el tiempo lo dirá). Este tipo de objetos se configura con un per-device mapping.

Imaginemos que tienes 3 firewalls con direccionamiento 10.1.0.0/24, 10.2.0.0/24 y 10.3.0.0/24

Te creas un objeto dinámico de tipo red. En la definición de ip le pones cualquier cosa (esto me parece raro, pero ahí esta) y un nombre descriptivo (local_ips).

Y luego creas tus per-device mappings

Mapped device -> TUFIREWALL1 -> Details IP/netmask 10.1.0.0/24
Mapped device -> TUFIREWALL2 -> Details IP/netmask 10.2.0.0/24
Mapped device -> TUFIREWALL3 -> Details IP/netmask 10.3.0.0/24

Y listo … luego en la política creas la regla de forma normal.

Desde local_ips hacia internet permitir lo que quieras, instalar en firewall1, firewall2 y firewall3.

Y el tío te hace el mapeo para que en firewall1 tenga sus ips.

Ahora iba a decir que esto es diferente a como se hacía en un checkpoint, que … si querías hacerlo tenías que añadir todo el rango (y se instalaba en todos, pero con ips que jamás iban a hacer match). O lo mismo sí que se puede hacer, a ver si un día tengo un rato y lo pruebo.

El coñazo para ver si se está haciendo bien es que tienes que entrar en el firewall de forma local y ver si ha puesto las ips que debe.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.