FortiGateGuías técnicas

Forzar la IP orígen en servicios de FortiGate

Por defecto, cuando FortiGate debe originar tráfico para ciertos servicios, consulta la tabla de rutas y elige la interfaz de red más cercana al destino como IP origen.

En ciertos diseños de red, es posible que FortiGate deba originar tráfico con una dirección IP específica para poder obtener acceso a internet y que esta no pertenezca a una interfaz en concreto. Un ejemplo claro es cuando se realiza NAT con una IP no asociada a una interfaz específica.

En estos casos, el tráfico que atraviese el firewall con una política de NAT, tendrá traslación de direcciones IP según indique la propia política, pero esto no afectará al tráfico localmente originado por FortiGate.

Un ejemplo de servicios disponibles en FortiGate que pueden ser origen de tráfico son:

  • SNMP
  • Syslog
  • Alert email
  • Acceso a FortiManager
  • Acceso a FortiGuard
  • FortiAnalyzer logging
  • NTP
  • DNS
  • Procesos de autorización como RADIUS, …
  • FSSO

Para todos estos casos es posible indicarle a FortiGate cuál debe ser la dirección IP que se utilize para originar el tráfico local.

config system <servicio>

 set source-ip <ip origen>

end

Por ejemplo, para que el tráfico de conexión a fortiguard y a NTP emplee la dirección 1.2.3.4 como origen:

config system fortiguard

 set source-ip 1.2.3.4

end

config system ntp

 set source-ip 1.2.3.4

end

La dirección IP empleada como orígen deberá existir en alguna interfaz de FortiGate. En caso de no existir, siempre se puede crear una interfaz de tipo loopback.

config system interface
  edit “loop1”
  set vdom “root”
  set ip 1.2.3.4 255.255.255.255
  set type loopback
  set snmp-index 5
next
end

Finalmente, es posible ver qué IP se emplea como origen de todos los servicios con el siguiente comando:

get system source-ip status

Tags

Contenidos relacionados

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *