Publicar Servicios En Fortinet 30D (Servidores de Correo ó NVRs)


Publicar Servicios En Fortinet 30D.


En este post les explicare como publicar nuestros servicios en un equipo Fortinet 30D con IOS 5.2.3.

Si intentamos conectarnos a cualquier servicio dentro de nustra red local por cualquier puerto, es decir tengo un servidor WEB por el puerto "80" TCP, y deseamos conectarnos por medio de nuestra IP publica es necesario realizar los siguiente.

1.- Necesitamos crear un servidor virtual, para esto seguimos estos pasos dentro de Fortinet.

- Firewall
-- Virtual IP
--- Create New

En "NAME" colocamos un nombre con el cual identificaremos nuestro servicio, por ejemplo "WEB_SERVER"

En "EXTERNAL INTERFACE" la interface interna por la cual nos vamos a conectar, OJO, en el 30D no tenemos interface WAN1 ni WAN2, solo WAN, obviamente y por ende seleccionaremos esta ultima.

En varios FORTINET, tenemos la opción de habilitar o deshabilitar el "STATIC NAT", en el FORTINET 30D viene activado por default.

En "EXTERNAL IP ADDRESS/RANGE" colocamos la IP publica de nuestra WAN.

En "MAPPED IP ADDRESS/RANGE", colocamos la dirección IP del servidor que queremos publicar.

Habilitamos "PORT FORDWARDING".

En tipo de protocolo, seleccionamos el protocolo que utilizara nuestro servicio ya se TCP o UDP, segun nuestras necesidades.

En "EXTERNAL SERVICE PORT", es el puerto por el cual conocerán a nuestro servidor desde internet ejemplo: 201.X.X.X.X:puerto este puerto se coloca en ambos campos.

En "MAP TO PORT" se coloca el puerto por el cual se conectara internamente, en este se debe colocar el puerto que utilizara realmente nuestro server, recordemos que, queremos que nuestro servidor se conosca en internet por un puerto de acceso pero localmente debemos colocar el real.

Seguido de esto damos "OK"

Ahora y la parte importante de este post y para que funcione nuestro servicio es necesario crear una politica en el FIREWALL

Para esto accedemos a:

- FIREWALL
-- POLICY
--- CREATE NEW

En la parte origen “Source”, seleccionamos desde que interfaz nos entrará el tráfico.

En “Interface/Zone”, y en “Address Name” ponemos “all”.

En el destino, a donde van las conexiones, pues donde este nuestro servidor, lo normal o “DMZ o Internal o lan”, 

En “Addess Name” seleccionamos la Virtual IP que nos hemos creado en el paso anterior.

En “Schedule” “always”; en Service el puerto que vamos a usar  si no sale aquí nuestro puerto o servicio, tenemos que crearlo en “Firewall” > “Service” y asignarle un nombre y un puerto); en “Action” “ACCEPT” para que acepte este tipo de conexiones y dando a “OK” esto ya nos funcionará.

En caso que no sepamos que servicio utilizaremos colocamos "ALL".



Comentarios

Publicar un comentario

Entradas populares de este blog

Como configurar el archivo SIP.conf, "Ejemplo de configuracion basica SIP.conf"

El archivo sip.conf contiene todo, absolutamente todo para configurar Asterisk con el protocolo SIP, sirve ademas para  añadir nuevos usuarios o conectar con proveedores SIP. un ejemplo básico del archivo sip.conf: [general] context=default port=5060 ; Puerto UDP  (en el que responderá el Asterisk) bindaddr=0.0.0.0 ; (Si queremos especificar que Asterisk esté en una IP (si un equipo tiene 3 IPs por ej.) 0.0.0.0 funciona igual) srvlookup=yes ; (Habilita servidor DNS SRV) [skadjmovil] (Etiqueta del usuario) type=friend secret=welcome qualify=yes ;(Tiempo de latencia no superior a 2000 ms) nat=no ; (El telefono no usa NAT) host=dynamic ; (El dispositivo se registra con una IP dinamica ó DHCP) canreinvite=no ; (Asterisk por defecto trata de redirigir) context=internal ; (El contexto que controla todo esto) El fichero sip.conf comienza con una sección [general] que contiene la configuración por defecto de todos los usuarios y "peers" (proveedores). Se puede sobr...
Leer más

Red WIFI Oculta (SSID Oculto)

¿Es segura una una red WiFi oculta? (SSID Oculto) A la hora de realizar una  auditoría de seguridad WiFi  un paso importante es la identificación de los nombres de una red WiFi oculta, también conocidas con el nombre de  ESSID  en el estándar 802.11. Conocer el nombre de una red WiFi es imprescindible para poder conectarse a ella o incluso para poder realizar un intento de conexión. Además, para el caso de redes con seguridad WPA/WPA2, el valor del  ESSID  es necesario para el cómputo de la  Pre Shared Key  (PSK), la clave de cifrado, y por tanto para poder crackear una contraseña WiFi. Normalmente los puntos de acceso WiFi que publican una red, propagan a los clientes el nombre de red dentro de unos parámetros conocidos como  Information Elements , que van incluidos en algunos paquetes de lred, en los frames de tipo Management, más concretamente en los Beacons (tipo=0x00, subtipo=0x05) con el Information Element cuyo identificador es ...
Leer más