Re: [ml] Configurazione nuovo firewall

Ciao,
ti do un primo aiuto, sperando che poi qualcuno che
abbia gia utilizzato il 
fortigate completi le mie poche righe, faccio presente
che ho solo sottomano 
il manuale, non ho ancora messo mano all'apparato,
peor' lo ho visto in 
funzione da uno dei mei clienti.

Le porte Wan, se non erro sono 2, cio' ti permette di
utilizzare 2 router e 
quindi avere sia la ridondanza, sia permetterti di non
avere mai un down in 
uscita (supponiamo tu abbia 2 router con 2 carrier
distinti).

Ovviamente le porte wan, dove hai attestato
l'indirizzo pubblico da te 
menzionato, possono anche prendere in carico altri
indirizzi pubblici, anche 
tutti quelli disponibili dei 5 che menzioni.

Se ricordo bene nel Fortigate c'e' una opzione Virtual
Ip, che serve proprio 
a fare "captare" al firewall i pacchetti per un
indirizzo pubblico diverso 
da quello dell'interfaccia (lo stesso vale anche per
le altre schede dmz e 
internal), per poi farlo gestire a proprio piacimento.

Nel tuo caso, devi solo definire un Virtual Ip con un
indirizzo pubblico da 
te prescelto, assegnarlo (pensa ad redirecting) ad una
macchina interna, e 
poi con una regola di policy (se ricordo bene c'e'
come una scacchiera), 
devi scegliere external to dmz, abilitare l'http da
quell'ip esterno al 
server che ha un ip privato, cosi facendo "rimappi"
tutto cio' che arriva 
sulla porta 80 dell'indirizzo pubblico da te scelto,
sulla 80 del tuo server 
interno fisico.

Trovi a pagina 227 del manuale la spiegazione passo
passo.
http://docs.forticare.com/fgt/admin/01-28008-0002-20050909_FortiGate-60_Administration_Guide.pdf


Per il secondo server che non dovra' essere in dmz
(rimane da capire 
perche'), puoi a scelta esporlo nella zona detta
rossa, ovvero a fianco
della wan del firewall (deve essere super corazzato
pero', e comunque e' una 
scelta azzardata), o inserirlo nella tua lan.

Pro dell'inserimento in lan (rispetto ad una dmz):
hai la macchina che e' raggiungibile dalla tua lan
direttamente, non devi 
programmare regole, non hai nessun impatto rispetto a
come la tua rete 
utilizzava quel server in assenza di Firewall.

Contro: Se la macchina server accetta chiamate da
internet, una volta che un 
potenziale hacker prende possesso della macchina in
questione, e' gia 
arrivato alla tua lan, non ha piu ostacoli; non
attraversando il firewall 
non hai nemmeno nessun log sul fortinet che possa
aiutarti a capire chi cosa 
come e quando qualcuno e' entrato nella tua rete.


Domanda 2:

non devi aggiungere nessuna tabella di routing, e'
sufficiente che al 
firewall, tu dica che dalla entita' A puo' raggiungere
la entita' B, con una 
regola o policy.
Nel tuo caso se dovessi fare manutenzione alla
macchina che e' in DMZ e per 
assurdo la manutenzione la facessi via terminal
server, sara' sufficiente 
definire le 2 entita' A e B, tramite i loro rispettivi
indirizzi Ip, quindi 
scrivere una policy (pagina 202 del manuale), che
permetta all'entita' A (il 
tuo pc) di aggiungere la entita' B (il server in DMZ)
per il protocollo 
Terminal Server.
I pacchetti che il tuo pc A mandera' al suo default
gateway (Fortinet), 
saranno automaticamente gestiti dal firewall, alla DMZ
con destinazione rete 
DMZ entita' B.
So che puo' sembrare un po' articolato, specie per chi
ha solo esperienza 
coi router, ma il Firewall (che hai installato in
modalita' Nat e non in 
modalita' Bridge), si comporta cosi.

Domanda 3:

rispondo che e' possibile eseguire cio' che tu chiami
nat (1:1), sempre 
utilizzando un indirizzo virtuale che ad esempio
mapperai nella interfaccia 
interna, e che traslera' i pacchetti alla interfaccia
Dmz, come detto prima 
per il server da pubblicare in Internet. Pero' te lo
sconsiglio, secondo me 
e' sufficiente utilizzare una semplice regola di
firewalling, del tipo 
unita' A puo' accedere alla unita' B per il protocollo
X.

Spero di esseri stato d'aiuto,

ciao

Nicola.










	

	
		
___________________________________ 
Yahoo! Mail: gratis 1GB per i messaggi e allegati da 10MB 
http://mail.yahoo.it