Open Port FG
Open Port FG
Open Port FG
Description
Cet article explique comment ouvrir un port
sur un FortiGate. Par défaut, le pare-feu FortiGate refuse tout le trafic qui le traverse sur
tous les ports en raison d’une « stratégie de refus implicite » préconfigurée.
SolutionPour autoriser tout trafic via FortiGate sur n’importe quel port, configurez la
stratégie IPv4 avec 'action' défini sur 'Accepter/Autoriser'.
Voici un exemple pour autoriser le trafic du port RDP 3389 via FortiGate : Étape 1 : Créer
l’objet 'Service' pour le port qui doit être autorisé sous Policy and Object -> Services .
S’il s’agit d’un port standard, il existe des objets de service prédéfinis sous « liste de
services ».
Si ce n’est pas le cas, configurez l’objet 'Service' sous Stratégie et Objet -> Services -
> Créer un nouveau
service ->
Remarque : Dans cet exemple RDP, RDP utilise à la fois TCP et UDP, il faut donc ajouter
les deux. Dans le cas où il n’y a qu’un protocole spécifique UDP ou TCP, ajoutez
simplement ce protocole avec le numéro de port.
Étape 2
:
Appliquez l’objet de service configuré 'RDP_Port' sous l’option 'Service' de configuration
de la stratégie :
pour créer une stratégie, accédez à Stratégie et objet -> Stratégie IPv4 -> Créer
une nouvelle
Remarques:
- Placez cette politique spécifique au-dessus de toutes les autres politiques générales.
- S’il est nécessaire de bloquer le port spécifique, les étapes sont les mêmes, assurez-
vous simplement que 'action' dans la stratégie est défini sur 'Refuser'
Problème
J’étais de retour sur les outils aujourd’hui en configurant FortiGate Port Forwarding!
C’était pour l’un de nos partenaires pour lequel je devais faire du travail à distance,
donc j’avais temporairement besoin d’accéder à leurs serveurs. Normalement, je
voudrais juste SSL VPN, (mais c’est ce que je suis en train de configurer!) Donc,
pour accéder à leurs serveurs, j’ai dû configurer un transfert de port pour RDP.
AVERTISSEMENT: Transfert de port RDP de TOUS / Any est une MAUVAISE
IDÉE (Cryptolocker quelqu’un ?) Donc, si vous devez transférer RDP, verrouillez-le
sur une adresse IP source particulière comme je suis sur le point de le faire.
Stratégie et objets >Apis virtuelles > créer une adresse IP virtuelle >.
Donnez-lui un nom judicieux > Définissez l’interface sur
l’interfaceexterne/WAN >'adresse IP externe définie sur l’adresse IP publique du
pare-feu* > Adresse IP mappée, définissez sur l’adresse IP interne du
serveur vers lequel vous transférez > Activez 'Transfert de port' >
Sélectionnez TCP ou UDP > Tapez le ou les ports que vous souhaitez transférer.
Transférer une gamme de ports est beaucoup plus facile sur un FortiGate que sur
« d’autres » fournisseurs! > D’accord.
*Remarque: Je suppose que si vous transférez un port, vous n’avez qu’une seule
adresse IP publique (ou vous êtes épuisé).
From the Virtual IP menu > Create New > Virtual IP Group.
Give the group a name > Select the outside/WAN interface > Add in the Virtual IP
you created above > OK.
If you are port forwarding something like HTTP/HTTPS to a web server, or SMTP to
a mail server you can skip this step. As per my warning above I’m restricting public
access to one single public IP (mine). For most port forwarding scenarios you would
set the source to ‘ALL‘.
Anyway for completeness here’s how to create an Address object. Policy & Objects >
Addresses > Create New > Address.
Donnez-lui un nom reconnaissable > Type=Subnet > Tapez l’ADRESSE IP dans la
zone Plage IP > Définissez l’interface sur Outside/WAN > OK.
Stratégie et objets > stratégie IPv4 (ou stratégie de pare-feu sur le nouveau
microprogramme) > Créer nouveau.
• Nom: Quelque chose d’identifiable
• Interface entrante: Extérieur / WAN
• Source: Pour RDP, spécifiez l’adresse unique que vous avez créée ci-dessus pour
toutes les autres redirections de port, utilisez simplement ALL à la place.
• Destination: Votre groupe IP virtuel
• Horaire: Toujours
• Service: RDP (ou le port que vous transférez s’il est différent)
• Autoriser: Accepter
Cliquez sur OK.
Transfert de port FortiGate : dépannage de la redirection
de port
Vous pouvez voir ce qui se passe en utilisant le renifleur de paquets dans le pare-
feu.
diagnose sniffer packet {interface} 'host {External IP} and port {Port
Number}' 4
e.g.
If you have any security profiles to restrict and monitor the traffic, you
can apply them under security profiles area. Do not forget to enable
Logging options if you like to log and track the allowed traffic. With
the above policy, we have successfully configured to allow incoming
FTP traffic on the WAN interface by using Fortigate port forwarding
method.