psyfrog
Goto Top

Fortigate 30B Konfiguration Firewall Policy und Portforwarding

Hallo Leute

Ich bin seit ein paar Wochen stolzer Besitzer einer Fortigate 30B Firewall sowie einem QNAP NAS. Nach unzähligen Stunden von Anleitungen durchlesen, Internet durchforsten usw. hoffe ich dass ich hier etwas Hilfe bekomme. Es geht darum dass ich mir einfach nicht sicher bin ob meine Konfig so wie sie ist in Ordnung ist. Ich kann zwar surfen aber mit den Mails klappts nicht so wirklich und FTP geht überhaupt nicht. Ich habe es mal geschafft dass ich von aussen über Firefox auf den FTP kam. Mit einem Client habe ich in jeglicher Hinsicht (Port 21/990 sowie FTP/SFTP/FTPS) keine Chance.

Ich habe hier mal meine ganze (fast ja) Konfiguration des Fortigates aufgestellt:

NAS
DHCP, FIX IP


Fortigate
System
Interface Internal:
- Adressing mode: Manual / 192.168.1.1/255.255.255.0
- Override Default MTU Value 1500
- Enable DNS Query Recursive
- Administrative Access *

Interface WAN:
- DHCP
- Retrieve default gateway from server.
- Override internal DNS.
- Enable DDNS
- Administrative Access
*

DNS Settings
- Primary und Secondary eingetragen

DHCP Server
- Interface internal / Server enabled / Adressing mode Regular
- IP’s / Netmask
- Default GatewaY 192.168.1.1
- Use System DNS Settings
-
Router
Static Route
- Destination IP/Mask: 0.0.0.0/0.0.0.0
- Device: WAN
- Gateway: 0.0.0.0
- Distance 10
- Priority: 0

Firewall
Policy, Policy,
- Seq. 1: From: WAN / To: Internal / Source: Web (0.0.0.0) / Destination: TS459PRO – VIP / Schedule: Always / Service: HTTPS, Passive FTP, FTP 20-21 / Action: Accept / Status: ON
- Seq. 2: From: WAN / To: Internal / Source: Web (0.0.0.0) / Destination: FORTIGATE – VIP / Schedule: Always / Service: Fortigate Push, NTP / Action: Accept / Status: ON
- Seq. 3: From: WAN / To: Internal / Source: Web (0.0.0.0) / Destination: Internal / Schedule: Always / Service: E-Mail, Admin, _FTP / Action: Accept / Status: ON
- Seq. 4: From: Internal / To: WAN / Source: Internal / Destination: Web (0.0.0.0) / Schedule: Always / Service: Internet, Admin, E-Mail, _FTP / Action: Accept / Status: ON
- Seq. 5: From: ANY / To: ANY / Source: ALL / Destination: ALL / Schedule: Always / Service: ANY / Action: DENY / Status: IMPLIZIT

Address, Address
- Web: 0.0.0.0 / 0.0.0.0 / Interface WAN
- Internal: 192.168.1.0 / 255.255.255.0 / Interface: Internal
- All 0.0.0.0 / 0.0.0.0 / Interface: ANY

Service, Groups
- Admin: Fortigate Push (9443 UDP), NTP (123 UDP), PING (8 ICMP)
- E-Mail: IMAP SSL (993 TCP) / POP3 SSL (995 TCP) / SMTP SSL (465 TCP)
- Internet: DNS (53 TCP/UDP), HTTPS (443 TCP) , HTTP 8080 (8080 TCP), HTTP (80 TCP)
- _FTP: FTP SSL (989-990 UDP), Passive FTP (55536-56559 TCP), FTP 20-21(20-21 TCP)

Virtual IP
- Name: Fortigate, IP WAN/0.0.0.0, Service Port: 9443/UDP, Map to IP/IP Range: 192.168.1.1, Map to Port 9443/UDP
- Name: Fortigate, IP WAN/0.0.0.0, Service Port: 123/UDP, Map to IP/IP Range: 192.168.1.1, Map to Port 123/UDP
in Gruppe: FORTIGATE – VIP

- Name: TS459PRO, IP WAN/0.0.0.0, Service Port: 443/TCP, Map to IP/IP Range: 192.168.1.5, Map to Port 443/TCP
- Name: TS459PRO, IP WAN/0.0.0.0, Service Port: 55536/TCP, Map to IP/IP Range: 192.168.1.5, Map to Port 55536-56559/TCP
- Name: TS459PRO, IP WAN/0.0.0.0, Service Port: 20/TCP, Map to IP/IP Range: 192.168.1.5, Map to Port 20-21/TCP
In Gruppe TS459PRO – VIP

Könnte es sein dass ich noch eine Statische oder eine Policy Route brauche? (Keinen Plan mit den Routen. Ich begreifs einfach nicht.) Oder stimmt etwas mit den Adressen nicht? (eigentlich schon) Habe ich einen Port zu wenig? (hmmm habe überall gesucht und möchte ja möglichst wenig aufmachen)

Vielen Dank und Beste Grüsse

Psyfrog

Content-ID: 147076

Url: https://administrator.de/forum/fortigate-30b-konfiguration-firewall-policy-und-portforwarding-147076.html

Ausgedruckt am: 23.12.2024 um 05:12 Uhr

aqui
aqui 16.07.2010 um 21:54:40 Uhr
Goto Top
Für FTP musst du einen FTP Client im passive Mode verwenden sonst kannst du die NAT Firewall der Fortigate nicht überwinden.
Warum das so ist kannst du hier nachlesen:
http://slacksite.com/other/ftp.html
Die Port Forwading Rule ist auch falsch:
Name: TS459PRO, IP WAN/0.0.0.0, Service Port: 20/TCP, Map to IP/IP Range: 192.168.1.5, Map to Port 20-21/TCP
FTP darf niemals auf eine Range gemappt werden !! Zeigt eher das dir die Mechanismen von FTP nicht vertraut sind face-sad
TCP 20 muss auf die lokale IP 192.168.1.5 Port TCP 20 und
TCP 21 muss auf die lokale IP 192.168.1.5 Port TCP 21

Routen benötigst du in so einem Banalszenario keine einzige ! Es sei denn du hast noch weitere Subnetze lokal was aber laut deiner o.a. Beschreibung nicht der Fall ist.
Psyfrog
Psyfrog 16.07.2010 um 23:03:32 Uhr
Goto Top
Hallo aqui

Die oben genannte Regel zeigt nur auf die Adresse 192.168.1.5. Ich habe das so aus dem Fortigate abgeschrieben. Darum Map to IP/IP range. Ich habe das Map to Port 20-21 TCP nun auf jeden Fall aufgeteilt und 2 seperate "Services" draus gemacht.

Ich habe auch bereits gelesen dass ich die Verbindung passiv aufbauen muss. Dies habe ich unter anderem mit ca. 5 verschiedenen FTP Client probiert.

Das Problem ist dass trotzdem die Regel 0 bzw. Implizit zur Anwendung kommt. Siehe hier:

Date 2010-07-16
Time 22:58:16
Level warning
Sub Type violation
ID 3
Virtual Domain root
Source *
Source Name
*
Source Port 1404
Destination *
Destination Name
*
Destination Port 21
Service 21/tcp
Protocol 6
IM and P2P Application N/A
Duration 0
Rule 0
Policy ID 0
Sent 0
Received 0
VPN N/A
Source Interface wan
Destination Interface internal
Serial Number 28078
Status deny
User N/A
Group N/A
Carrier End Point N/A
Application Name N/A
Application Category N/A
Sent Shaper Bytes Dropped 0
Received Shaper Bytes Dropped 0
Per-IP Shaper Bytes Dropped 0
Sent Shaper Name N/A
Received Shaper Name N/A
Per-IP Shaper Name N/A
Identity Policy ID 0
edepfau
edepfau 19.07.2010 um 13:52:58 Uhr
Goto Top
Hallo psyfrog,

bitte stelle die VIP für ftp um auf Port 21/tcp. Wie das log zeigt, wird der Verbindungsaufbau über Port 21 versucht, nicht Port 20. Auf seiten der Fortigate wird der "assoziierte" Port 20 automatisch mitgeführt (über einen session-helper). Es wird also auch nur eine einzige VIP für ftp benötigt.

OK, die passive ftp-Geschichte überblicke ich nicht. Mit der ftp-VIP bekommst Du jedenfalls ftp-Zugang zum NAS, mehr willst Du ja schließlich nicht. Also erstmal diese 2. VIP löschen.

Die 3. VIP für das NAS-Management klappt so nicht, weil auch die Fortigate über port 443 administriert wird. Diesen Port kannst Du verstellen unter System/Admin/Settings, z.B. auf 20443. Dann sollte das auch gehen.

Bitte alle VIPs für die Fortigate löschen. Ich kann zwar nachvollziehen, was gemeint war, aber das ist alles überflüssig. Der traffic für die push updates kommt direkt auf wan1 an, und wird dort auch von der Fortigate intern abgeholt ("listening"). Der NTP-Verkehr wird ja von der Fortigate angefangen, von (any) nach wan1, also braucht man da auch keine VIP.

Diese krausen VIPs kenne ich noch aus den Urzeiten der ISDN-Router a la Vigor.

Wäre schön, wenn Du kurz rückmelden würdest, ob es klappt.
Psyfrog
Psyfrog 19.07.2010 um 14:53:43 Uhr
Goto Top
Hallo edepfau

Leider war ich zu blöd bzw. zu unerfahren um bei meinen Custom Services die Source Ports auf 1-65535 anstelle von 20-21 zu konfigurieren... Sorry!

Stimmt es nun dass ich bei allen Custom Services 1-65535 eintragen muss? Bei Juniper habe ich gelesen dass die z.T. nur 1024-65535 eingeben.

Ja, also mit den ganzen VIP's blicke ich halt auch nicht ganz durch. Ich weiss aber dass ich über meine Domain per 443 auf das NAS komme!? Bei der Passiven VIP habe ich auch traffic drauf. Ich muss das ganze mal untersuchen um dies eventuell beseser konfigurieren zu können. Ich hätte FTP sowieso lieber auf Port 990.

Ich möchte auf jeden Fall dass die Fortigate NTP und Push Updates beziehen kann. Würde somit eine "einfache" Firewall Policy ohne die VIP's reichen?

Ich wüsst z.B. auch nicht was ich machen müsste um ausserhalb auf das Gui vom Fortigate UND dem NAS draufzukommen!? Müsste ich dann das NAS auf 443 und die Fortigaten z.B. eben auf 20443 legen? Eine VIP mit Portforwarding kann es ja nur 1 mal pro Port geben.

Ich bin nun auf jeden Fall absolut glücklich dass ich wieder Mails empfangen kann face-wink.

Gruss Psyfrog
edepfau
edepfau 19.07.2010 um 15:20:34 Uhr
Goto Top
Hi,

sorry, ich habe den Eindruck, da geht gerade einiges durcheinander.
1. die custom services sind im Moment doch gar nicht in der Kritik. Aber gut: ja, man stellt dort die destination ports ein. Als source ports ist 1-64k voreingestellt, das kann man so lassen.
2. Ich habe ja oben bereits ganz konkrete Massnahmen angegeben, um Dir zu ermöglichen, Verbindung von aussen auf das NAS aufzunehmen. Was davon hast Du schon umgesetzt? Mit welchen Ergebnissen?

Für mich persönlich ist das schon frustrierend, wenn ich an einem (fremden) Problem arbeite, und es wird nicht auf Lösungsvorschläge eingegangen, bzw. diese werden nicht mal gelesen.

Deine Bemerkungen zu ntp und https auf die FG habe ich ja schon beantwortet. Jetzt mach mal...