Open Port FG

Télécharger au format pdf ou txt
Télécharger au format pdf ou txt
Vous êtes sur la page 1sur 12

Conseil technique : Comment ouvrir un port

Description
Cet article explique comment ouvrir un port
sur un FortiGate. Par défaut, le pare-feu FortiGate refuse tout le trafic qui le traverse sur
tous les ports en raison d’une « stratégie de refus implicite » préconfigurée.

SolutionPour autoriser tout trafic via FortiGate sur n’importe quel port, configurez la
stratégie IPv4 avec 'action' défini sur 'Accepter/Autoriser'.
Voici un exemple pour autoriser le trafic du port RDP 3389 via FortiGate : Étape 1 : Créer
l’objet 'Service' pour le port qui doit être autorisé sous Policy and Object -> Services .

S’il s’agit d’un port standard, il existe des objets de service prédéfinis sous « liste de
services ».
Si ce n’est pas le cas, configurez l’objet 'Service' sous Stratégie et Objet -> Services -
> Créer un nouveau

service ->

Remarque : Dans cet exemple RDP, RDP utilise à la fois TCP et UDP, il faut donc ajouter
les deux. Dans le cas où il n’y a qu’un protocole spécifique UDP ou TCP, ajoutez
simplement ce protocole avec le numéro de port.

Étape 2
:
Appliquez l’objet de service configuré 'RDP_Port' sous l’option 'Service' de configuration
de la stratégie :

pour créer une stratégie, accédez à Stratégie et objet -> Stratégie IPv4 -> Créer
une nouvelle

Pour vérifier, exécutez le


renifleur comme suit :
# diagnostiquer le paquet renifleur tout « port tcp 3389 ou port udp 3389 »
4 a
interfaces=[any]
filters=[tcp port 3389 ou udp port 3389]
1.427148 port1 dans 10.143.3.189.64958 -> 10.5.41.48.3389 : syn 2923297620
<---- Packet entre sur FortiGate Port1 (entrée)
1.427148 port2 out 10.143.3.189.64958 -> 10.5.41.48.3389 : syn
2923297620 <---- Le paquet part sur le port 2 (egress)

Remarques:
- Placez cette politique spécifique au-dessus de toutes les autres politiques générales.
- S’il est nécessaire de bloquer le port spécifique, les étapes sont les mêmes, assurez-
vous simplement que 'action' dans la stratégie est défini sur 'Refuser'
Problème
J’étais de retour sur les outils aujourd’hui en configurant FortiGate Port Forwarding!
C’était pour l’un de nos partenaires pour lequel je devais faire du travail à distance,
donc j’avais temporairement besoin d’accéder à leurs serveurs. Normalement, je
voudrais juste SSL VPN, (mais c’est ce que je suis en train de configurer!) Donc,
pour accéder à leurs serveurs, j’ai dû configurer un transfert de port pour RDP.
AVERTISSEMENT: Transfert de port RDP de TOUS / Any est une MAUVAISE
IDÉE (Cryptolocker quelqu’un ?) Donc, si vous devez transférer RDP, verrouillez-le
sur une adresse IP source particulière comme je suis sur le point de le faire.

Transfert de port Fortigate


Le processus est;
1. Configurer une 'Ip virtuelle' (avec le transfert de port activé)
2. Créer un 'Groupe IP virtuel'
3. Autoriser le trafic vers le groupe IP virtuel.

Transfert de port FortiGate : créer une adresse IP


virtuelle

Stratégie et objets >Apis virtuelles > créer une adresse IP virtuelle >.
Donnez-lui un nom judicieux > Définissez l’interface sur
l’interfaceexterne/WAN >'adresse IP externe définie sur l’adresse IP publique du
pare-feu* > Adresse IP mappée, définissez sur l’adresse IP interne du
serveur vers lequel vous transférez > Activez 'Transfert de port' >
Sélectionnez TCP ou UDP > Tapez le ou les ports que vous souhaitez transférer.
Transférer une gamme de ports est beaucoup plus facile sur un FortiGate que sur
« d’autres » fournisseurs! > D’accord.
*Remarque: Je suppose que si vous transférez un port, vous n’avez qu’une seule
adresse IP publique (ou vous êtes épuisé).

FortiGate Port Forwarding: Create a Virtual IP Group

From the Virtual IP menu > Create New > Virtual IP Group.
Give the group a name > Select the outside/WAN interface > Add in the Virtual IP
you created above > OK.

FortiGate Port Forwarding: Fortigate Add an ‘Address’

If you are port forwarding something like HTTP/HTTPS to a web server, or SMTP to
a mail server you can skip this step. As per my warning above I’m restricting public
access to one single public IP (mine). For most port forwarding scenarios you would
set the source to ‘ALL‘.
Anyway for completeness here’s how to create an Address object. Policy & Objects >
Addresses > Create New > Address.
Donnez-lui un nom reconnaissable > Type=Subnet > Tapez l’ADRESSE IP dans la
zone Plage IP > Définissez l’interface sur Outside/WAN > OK.

FortiGate Port Forwarding: Autoriser le trafic transféré


par port

Stratégie et objets > stratégie IPv4 (ou stratégie de pare-feu sur le nouveau
microprogramme) > Créer nouveau.
• Nom: Quelque chose d’identifiable
• Interface entrante: Extérieur / WAN
• Source: Pour RDP, spécifiez l’adresse unique que vous avez créée ci-dessus pour
toutes les autres redirections de port, utilisez simplement ALL à la place.
• Destination: Votre groupe IP virtuel
• Horaire: Toujours
• Service: RDP (ou le port que vous transférez s’il est différent)
• Autoriser: Accepter
Cliquez sur OK.
Transfert de port FortiGate : dépannage de la redirection
de port

Vous pouvez voir ce qui se passe en utilisant le renifleur de paquets dans le pare-
feu.
diagnose sniffer packet {interface} 'host {External IP} and port {Port
Number}' 4

e.g.

diagnose sniffer packet wan 'host 234.234.234.234 and port 3389' 4

Remarque: Dans l’exemple ci-dessus, je n’obtiens aucun trafic de retour (ACK),


(parce que le pare-feu Windows était activé et a laissé tomber le trafic!) J’ai
diagnostiqué cela en essayant d’envoyer un ping au serveur à partir du pare-
feu(exécuter ping {adresse IP interne}) et en ne voyant pas de réponse!
Comment autoriser le trafic entrant
FTP sur FortiGate par transfert de port
Actualisé:novembre 11, 2020par Dinesh

Dans cet article, laissez-moi vous montrer comment autoriser le trafic


FTP entrant sur le périphérique de pare-feu FortiGate afin que vous
puissiez héberger les sites FTP dans le monde extérieur. Nous
utiliserons la technique de redirection de port pour atteindre cet
objectif. Toutes les requêtes FTP entrantes vers l’interface externe
(WAN) atteindront le serveur FTP sur le réseau interne. FortiGate est un
célèbre dispositif de pare-feu matériel qui peut protéger votre réseau
domestique et professionnel contre les menaces réseau. Nous
pouvons mettre en place plusieurs stratégies de pare-feu et options de
filtrage pour sécuriser le réseau. Il peut également fonctionner comme
un dispositif de pare-feu d’application Web si vous hébergez des sites
Web ou FTP en interne, mais que vous souhaitez autoriser l’accès à des
utilisateurs externes via Internet.
Note: Bien que les captures d’écran ci-dessous aient été prises sur la
version FortiOS 5.x, elles sont applicables aux dernières versions telles
que 6.x. Vous pouvez trouver des options similaires, mais avec un
écran d’interface graphique légèrement différent.
Étapes pour autoriser la redirection de
port FTP dans FortiGate
Vérifiez tout d’abord l’adresse IP WAN de l’interface connectée à
Internet. Si vous avez une adresse IP publique statique sur l’interface
WAN, notez-la.

If you do not have the static IP on WAN interface which changes


dynamically, then you should use ‘dynamic DNS’ service such
as DynDNS to map the particular web address name to IP address. You
can check this guide about setting up DynDNS on Fortigate.
Head down to ‘Virtual IPs’ and create a new virtual IP.
Enter the name of an object, select the correct WAN interface which
will receive the incoming FTP traffic. As said earlier, if the WAN IP is a
dynamic (not fixed), leave the ‘External IP address/Range’ to 0.0.0.0
as shown below, otherwise, you have to enter the static IP in these
fields.
On the next box, type the IP address of the local FTP server which
will accept FTP traffic through this FortiGate Firewall.
Enable Port Forwarding and enter port number 21 as TCP port (which
is used by FTP protocol by default). Click OK to save the changes.
Select the WAN port as an incoming port and ‘all’ under source
address.
Select the port where the network of FTP server is connected, mostly it
could be on internal or DMZ port.

The destination address should be the virtual IP we created in step


1, set the schedule if you want to restrict the access during a specific
time.
The service can be ‘ALL’ or ‘FTP’, since we set the FTP port number in
virtual IP, selecting the ‘All’ will not cause any issues. Select Accept in
Action.

If you have any security profiles to restrict and monitor the traffic, you
can apply them under security profiles area. Do not forget to enable
Logging options if you like to log and track the allowed traffic. With
the above policy, we have successfully configured to allow incoming
FTP traffic on the WAN interface by using Fortigate port forwarding
method.

Deux contrôles importants


1. Assurez-vous que le service FTP est en cours d’exécution
sur le port 21 du serveur, car nous n’avons autorisé que ce
numéro de port. Pour tout cas particulier, si vous hébergez
des sites FTP ou SFTP sur des numéros de port différents,
vous devez modifier l’adresse IP virtuelle pour accepter un
numéro de port particulier.
2. La passerelle du serveur FTP doit être l’adresse IP de
l’interface interne FortiGate. Par exemple, si vous avez
plusieurs périphériques et routeurs FortiGate sur le réseau,
l’adresse IP de la passerelle du serveur FTP doit pointer vers
ce FortiGate qui accepte le trafic FTP entrant. Parce que le
trafic reviendra uniquement par cette passerelle par défaut.

Vous aimerez peut-être aussi