פיירוול של FORTIGATE 60D

[joymax2014]

פיירוול של FORTIGATE 60D

אהלן חבר'ה.
אני רוצה להגדיר בפיירוול הזה שכל התקשורת מחוץ למשרד אל המשרד תנוטרל למעט חוק בודד של מצלמות (שנוכל לצפות ב-DVR )

איך אני מגדיר זאת בפיירוול ?

 

[ShimiHi]

רק מה שתגדיר יאופשר

צור VIP עם כתובת פנימית וחיצונית בפורט המתאים
תכניס ל-rule בפוליסי
wan ל-internal עם ה-service המתאים וזהו

כל מה שלא תגדיר לא יאופשר חוץ מזה שהגדרת

 

[joymax2014]

אז אני לא צריך קודם להגדיר חוק שחוסם הכל?

 

[DuuGi]

הגדרה ראשונית של כל FW היא BLOCK ALL

אחרי זה מוסיפים חוקים של מה מותר.
שימי קפץ קצת כי VIP זה הגדרת port forward שצריך כמובן לעשות. אבל גם צריך לפתוח חוק בFW.

 

[ShimiHi]

הסבר

כמו שאמרתי,
מ-wan ל-internal
מה שלא פתחת, נשאר סגור.
ז"א שאם יצרת חוק לפי מה שכתבתי בתגובה הראשונה
רק מה שבחוק הזה יהיה פתוח מהעולם לרשת הפנימית.
ד"א חוק שחוסם הכל נמצא בד"כ מ-Internal ל-wan
כדי שאם מישהו\משהו מנסה לצאת החוצה ולא תואם לאף חוק שהגדרת - הוא ייחסם, בגרסטות החדשות של פורטי, החוק מופיע כברירת מחדל.

 

[ShimiHi]

*גרסאות

 

[joymax2014]

במצב הזה המצלמה עובדת:

מפחיד אותי קצת שה-SERVICE מכוון על ALL שזה אומר כל הפורטים .

 

[DuuGi]

תבדוק על איזה פורטים המצלמה עובדת וצמצם את ALL למה שרלוונטי

 

[joymax2014]

עשיתי את זה כבר

הבעיה שאני מצמצם את זה לפורטים הספציפיים אז המצלמה לא עובדת.
יש לי כבר VIPS שהם לפי הכתובת של המצלמה + הפורט .

 

[ShimiHi]

הי, כמה דברים

קודם כל תוודא שלא טעית ב-TCP/UDP
אם יש לך גרסה חדשה ולא שידרגת לפי ה-upgrade path
יש באג מעצבן ב-services
צריך להגדיר ב-source port
מ-1 עד 65535
כשתיכנס שוב ל-service לא תראה את זה, אבל זה עובד.
תנסה ותעדכן אם עבד.