qualcuno che ha dimestichezza con il FortiGate 90d firewall?

[nicovon]

Salve c'è qualcuno che ha dimestichezza con il FortiGate 90d firewall?

[Dane]

non con quel modello in particolare, ma quali prob hai?

[nicovon]

nessun problema.. vorrei escludere dalla connessione ad internet tutti i pc che si trovano in una stanza. non so se conviene farlo per mac o per ip

[Dane]

E' più una scelta di carattere generale.
Se fortigate o no cambia poco/nulla.

Se devi bloccare i computer mettili in una subnet apposita, e blocca tutta la subnet.
Se devono essere bloccati gli utenti puoi autenticare gli utenti e consentire (o meno) di andare su internet....

[nicovon]

si.. però io avrei bisogno di un aiuto a livello di interfaccia web del fortigate..

[nicovon]

in particolare c'è nessuno che capisce la logica delle policy?
qui https://i.stack.imgur.com/NYdKO.jpg c'è una foto, ci sono dei valori del tipo incoming interface ecc. io vorrei capire cosa significano queste voci.. qualcuno mi faccia capire per favore

[Dane]

che versione hai su?



dalla domanda che fai.... hai mai configurato un firewall?

[nicovon]

Quote:

Originariamente inviato da Dane

che versione hai su?



dalla domanda che fai.... hai mai configurato un firewall?

Current Running Firmware: FGT90D-5.00-build318.

solo una volta.. un zeroshell

[Dane]

Quote:

Originariamente inviato da nicovon

Current Running Firmware: FGT90D-5.00-build318.

solo una volta.. un zeroshell

Zeroshell nella configurazione del firewall (con una policy che non sia l'accept di default) è anche più complesso e analitico.
Il fortigate ti permette di autenticare utenti e device, in vari modi. E' cosa che stai usando?


Non so se consigliarti di aggiornare.
A naso quella versione è fuori supporto, ma mi è capitato di vedere cose un po' turche aggiornando ad una delle ultime versioni.

[nicovon]

Quote:

Originariamente inviato da Dane

Il fortigate ti permette di autenticare utenti e device, in vari modi. E' cosa che stai usando?

Grazie Dane.. mi interessa questa cosa.. Cosa intendiamo per autenticazione di utenti e device? Come posso usarla al mio scopo?

[Dane]

Quote:

Originariamente inviato da nicovon

Grazie Dane.. mi interessa questa cosa.. Cosa intendiamo per autenticazione di utenti e device? Come posso usarla al mio scopo?

serve per poter decidere chi va su internet, dove, con che filtri, ecc ecc.

A memoria su fortigate ci sono 3-4 modi per farlo. Quale scegliere dipende da quello che ci devi fare.

PS: prima di lanciarti a capofitto in figherie tipo autenticazioni per utente, vedi se non riesci a raggiungere il tuo obbiettivo in una maniera con meno dipendenze.

W!
Dane

[nicovon]

Quote:

Originariamente inviato da Dane

serve per poter decidere chi va su internet, dove, con che filtri, ecc ecc.

A memoria su fortigate ci sono 3-4 modi per farlo. Quale scegliere dipende da quello che ci devi fare.

PS: prima di lanciarti a capofitto in figherie tipo autenticazioni per utente, vedi se non riesci a raggiungere il tuo obbiettivo in una maniera con meno dipendenze.

W!
Dane

devo semplicemente impedire a una trentina di pc (indipendentemente dall'utente collegato) di accedere a internet. vorrei realizzarlo nel modo più semplice.

[Dane]

Quote:

Originariamente inviato da nicovon

devo semplicemente impedire a una trentina di pc (indipendentemente dall'utente collegato) di accedere a internet. vorrei realizzarlo nel modo più semplice.

se hai una rete del tipo 192.168.x.0/24 fai in modo che i 30 computer abbiano indirizzi dal 192.168.x.129 in su. Abbina mac e ip sul dhcp, tanto per dire

Poi sul forticoso crea un oggetto "PcNonVannoSuInternet" con la subnet 192.168.x.129/25.
Poi sul forticoso crea una policy in cui l'oggetto di cui sopra non va su internet (selezioni l'indirizzo/oggetto "pcNonvannoSuInternet" e gli dai un bel deny).

[nicovon]

Quote:

Originariamente inviato da Dane

se hai una rete del tipo 192.168.x.0/24 fai in modo che i 30 computer abbiano indirizzi dal 192.168.x.129 in su. Abbina mac e ip sul dhcp, tanto per dire

Poi sul forticoso crea un oggetto "PcNonVannoSuInternet" con la subnet 192.168.x.129/25.
Poi sul forticoso crea una policy in cui l'oggetto di cui sopra non va su internet (selezioni l'indirizzo/oggetto "pcNonvannoSuInternet" e gli dai un bel deny).

Grazie Dane, si questa è la soluzione più semplice e probabilmente anche la migliore.. quindi in questo modo io non andrei a creare una sottorete?

[Dane]

tecnicamente, per fare una sottorete vera e propria dovresti dare un ip di tale sottorete al router. Praticamente sempre va in coppia col segmentare la rete a livello ethernet.

Se vuoi segmentare la rete, o usare vlan specifiche meglio ancora, ma non è la cosa più facile e immediata da fare.


Quello che ti ho suggerito è di allocare un range di indirizzi (la metà di quelli che hai a disposizione, ovvero da 129 in su) e di creare una regola per quel range di indirizzi.
Tanto per intenderci non viene subnettato un bel niente.
Adesso che ci ho pensato meglio mi hai chiesto per 30 e ti ho dato un indirizzamemento per 128 indirizzi....
Se adesso parti da 30 e rischi di superare i 32 dimensiona per 64: 192.168.x.y/26 dove y può essere 0, 64, 128 o 192: ovvero rangi di indirizzi da 1 a 63, o da 64 a 127, o da 128 a 191, o da 192 a 254. Scegli in base a come hai configurato l'indirizzamento attualmente.

In alternativa potresti creare un oggetto per device, inserirlo in gruppi, e poi applicare la policy a livello di gruppo.
Francamente la soluzione della 192.168.x.y/26 con indirizzi bloccati su dhcp mi pare la più lineare. Ma dipende cosa ti serve.

[nicovon]

Quote:

Originariamente inviato da Dane

tecnicamente, per fare una sottorete vera e propria dovresti dare un ip di tale sottorete al router. Praticamente sempre va in coppia col segmentare la rete a livello ethernet.

Se vuoi segmentare la rete, o usare vlan specifiche meglio ancora, ma non è la cosa più facile e immediata da fare.


Quello che ti ho suggerito è di allocare un range di indirizzi (la metà di quelli che hai a disposizione, ovvero da 129 in su) e di creare una regola per quel range di indirizzi.
Tanto per intenderci non viene subnettato un bel niente.
Adesso che ci ho pensato meglio mi hai chiesto per 30 e ti ho dato un indirizzamemento per 128 indirizzi....
Se adesso parti da 30 e rischi di superare i 32 dimensiona per 64: 192.168.x.y/26 dove y può essere 0, 64, 128 o 192: ovvero rangi di indirizzi da 1 a 63, o da 64 a 127, o da 128 a 191, o da 192 a 254. Scegli in base a come hai configurato l'indirizzamento attualmente.

In alternativa potresti creare un oggetto per device, inserirlo in gruppi, e poi applicare la policy a livello di gruppo.
Francamente la soluzione della 192.168.x.y/26 con indirizzi bloccati su dhcp mi pare la più lineare. Ma dipende cosa ti serve.

grazie! mi stai dando una grossa mano. i pc sono esattamente 25. la tua soluzione mi piace e mi convince. non voglio assolutamente segmentare la rete e nemmeno creare una vlan dato che c'è già https://i.stack.imgur.com/K9dHa.jpg e non credo si possa creare una vlan dentro una vlan

[nicovon]

stamattina ho iniziato a "ordinare" gli ip dei pc secondo la loro disposizione fisica.. in questo modo ho potuto finalmente creare un range di ip 192.168.32.200-192.168.32.224. adesso che ho il mio range, dovrei creare la policy ma è proprio qui che ho delle grosse difficoltà.. chi mi assiste per favore..

[nicovon]

ci sono riuscito finalmente! .. più che altro avevo problemi a selezionare l'outgoing interface giusta.. nel mio caso ho messo wan1.. ma sinceramente ho messo a caso.. se mi dovesse ricapitare, come faccio a stabilire qual'è l'outgoing interface.. cosa rappresenta l'outgoing interface?




ringrazio Dane per avermi suggerito di allocare un range di indirizzi..

[Dane]

rappresenta l'interfaccia verso la quale i pacchetti vengono routati.

Non puoi mettere un bell' ALL?