Salve c'è qualcuno che ha dimestichezza con il FortiGate 90d firewall?

non con quel modello in particolare, ma quali prob hai?

nessun problema.. vorrei escludere dalla connessione ad internet tutti i pc che si trovano in una stanza. non so se conviene farlo per mac o per ip

E' più una scelta di carattere generale.
Se fortigate o no cambia poco/nulla.

Se devi bloccare i computer mettili in una subnet apposita, e blocca tutta la subnet.
Se devono essere bloccati gli utenti puoi autenticare gli utenti e consentire (o meno) di andare su internet....

si.. però io avrei bisogno di un aiuto a livello di interfaccia web del fortigate..

in particolare c'è nessuno che capisce la logica delle policy?
qui https://i.stack.imgur.com/NYdKO.jpg c'è una foto, ci sono dei valori del tipo incoming interface ecc. io vorrei capire cosa significano queste voci.. qualcuno mi faccia capire per favore

che versione hai su?



dalla domanda che fai.... hai mai configurato un firewall?

che versione hai su?



dalla domanda che fai.... hai mai configurato un firewall?

Current Running Firmware: FGT90D-5.00-build318.

solo una volta.. un zeroshell

Current Running Firmware: FGT90D-5.00-build318.

solo una volta.. un zeroshell

Zeroshell nella configurazione del firewall (con una policy che non sia l'accept di default) è anche più complesso e analitico.
Il fortigate ti permette di autenticare utenti e device, in vari modi. E' cosa che stai usando?


Non so se consigliarti di aggiornare.
A naso quella versione è fuori supporto, ma mi è capitato di vedere cose un po' turche aggiornando ad una delle ultime versioni.

Il fortigate ti permette di autenticare utenti e device, in vari modi. E' cosa che stai usando?

Grazie Dane.. mi interessa questa cosa.. Cosa intendiamo per autenticazione di utenti e device? Come posso usarla al mio scopo?

Grazie Dane.. mi interessa questa cosa.. Cosa intendiamo per autenticazione di utenti e device? Come posso usarla al mio scopo?


serve per poter decidere chi va su internet, dove, con che filtri, ecc ecc.

A memoria su fortigate ci sono 3-4 modi per farlo. Quale scegliere dipende da quello che ci devi fare.

PS: prima di lanciarti a capofitto in figherie tipo autenticazioni per utente, vedi se non riesci a raggiungere il tuo obbiettivo in una maniera con meno dipendenze.

W!
Dane

serve per poter decidere chi va su internet, dove, con che filtri, ecc ecc.

A memoria su fortigate ci sono 3-4 modi per farlo. Quale scegliere dipende da quello che ci devi fare.

PS: prima di lanciarti a capofitto in figherie tipo autenticazioni per utente, vedi se non riesci a raggiungere il tuo obbiettivo in una maniera con meno dipendenze.

W!
Dane

devo semplicemente impedire a una trentina di pc (indipendentemente dall'utente collegato) di accedere a internet. vorrei realizzarlo nel modo più semplice.

devo semplicemente impedire a una trentina di pc (indipendentemente dall'utente collegato) di accedere a internet. vorrei realizzarlo nel modo più semplice.

se hai una rete del tipo 192.168.x.0/24 fai in modo che i 30 computer abbiano indirizzi dal 192.168.x.129 in su. Abbina mac e ip sul dhcp, tanto per dire

Poi sul forticoso crea un oggetto "PcNonVannoSuInternet" con la subnet 192.168.x.129/25.
Poi sul forticoso crea una policy in cui l'oggetto di cui sopra non va su internet (selezioni l'indirizzo/oggetto "pcNonvannoSuInternet" e gli dai un bel deny).

se hai una rete del tipo 192.168.x.0/24 fai in modo che i 30 computer abbiano indirizzi dal 192.168.x.129 in su. Abbina mac e ip sul dhcp, tanto per dire

Poi sul forticoso crea un oggetto "PcNonVannoSuInternet" con la subnet 192.168.x.129/25.
Poi sul forticoso crea una policy in cui l'oggetto di cui sopra non va su internet (selezioni l'indirizzo/oggetto "pcNonvannoSuInternet" e gli dai un bel deny).

Grazie Dane, si questa è la soluzione più semplice e probabilmente anche la migliore.. quindi in questo modo io non andrei a creare una sottorete?

tecnicamente, per fare una sottorete vera e propria dovresti dare un ip di tale sottorete al router. Praticamente sempre va in coppia col segmentare la rete a livello ethernet.

Se vuoi segmentare la rete, o usare vlan specifiche meglio ancora, ma non è la cosa più facile e immediata da fare.


Quello che ti ho suggerito è di allocare un range di indirizzi (la metà di quelli che hai a disposizione, ovvero da 129 in su) e di creare una regola per quel range di indirizzi.
Tanto per intenderci non viene subnettato un bel niente.
Adesso che ci ho pensato meglio mi hai chiesto per 30 e ti ho dato un indirizzamemento per 128 indirizzi....
Se adesso parti da 30 e rischi di superare i 32 dimensiona per 64: 192.168.x.y/26 dove y può essere 0, 64, 128 o 192: ovvero rangi di indirizzi da 1 a 63, o da 64 a 127, o da 128 a 191, o da 192 a 254. Scegli in base a come hai configurato l'indirizzamento attualmente.

In alternativa potresti creare un oggetto per device, inserirlo in gruppi, e poi applicare la policy a livello di gruppo.
Francamente la soluzione della 192.168.x.y/26 con indirizzi bloccati su dhcp mi pare la più lineare. Ma dipende cosa ti serve.

tecnicamente, per fare una sottorete vera e propria dovresti dare un ip di tale sottorete al router. Praticamente sempre va in coppia col segmentare la rete a livello ethernet.

Se vuoi segmentare la rete, o usare vlan specifiche meglio ancora, ma non è la cosa più facile e immediata da fare.


Quello che ti ho suggerito è di allocare un range di indirizzi (la metà di quelli che hai a disposizione, ovvero da 129 in su) e di creare una regola per quel range di indirizzi.
Tanto per intenderci non viene subnettato un bel niente.
Adesso che ci ho pensato meglio mi hai chiesto per 30 e ti ho dato un indirizzamemento per 128 indirizzi....
Se adesso parti da 30 e rischi di superare i 32 dimensiona per 64: 192.168.x.y/26 dove y può essere 0, 64, 128 o 192: ovvero rangi di indirizzi da 1 a 63, o da 64 a 127, o da 128 a 191, o da 192 a 254. Scegli in base a come hai configurato l'indirizzamento attualmente.

In alternativa potresti creare un oggetto per device, inserirlo in gruppi, e poi applicare la policy a livello di gruppo.
Francamente la soluzione della 192.168.x.y/26 con indirizzi bloccati su dhcp mi pare la più lineare. Ma dipende cosa ti serve.

grazie! mi stai dando una grossa mano. i pc sono esattamente 25. la tua soluzione mi piace e mi convince. non voglio assolutamente segmentare la rete e nemmeno creare una vlan dato che c'è già https://i.stack.imgur.com/K9dHa.jpg e non credo si possa creare una vlan dentro una vlan :confused:

stamattina ho iniziato a "ordinare" gli ip dei pc secondo la loro disposizione fisica.. in questo modo ho potuto finalmente creare un range di ip 192.168.32.200-192.168.32.224. adesso che ho il mio range, dovrei creare la policy ma è proprio qui che ho delle grosse difficoltà.. chi mi assiste per favore..

ci sono riuscito finalmente! :yeah: :cincin: .. più che altro avevo problemi a selezionare l'outgoing interface giusta.. nel mio caso ho messo wan1.. ma sinceramente ho messo a caso.. se mi dovesse ricapitare, come faccio a stabilire qual'è l'outgoing interface.. cosa rappresenta l'outgoing interface?




ringrazio Dane per avermi suggerito di allocare un range di indirizzi.. ;)

rappresenta l'interfaccia verso la quale i pacchetti vengono routati.

Non puoi mettere un bell' ALL?