Hay veces que queremos publicar servicios de nuestra red hacia el exterior, algo muy común cuando se venden servicios como pueden ser cualquier tipo de programa. Para ello se debe realizar una NAT en una zona controlada de nuestra red.
En esta entrada anterior te enseñaba como realizar una configuración básica en un firewall fortigate. Volviendo al asunto, vamos a realizar un Port forwarding en Fortigate a un servidor web en nuestra DMZ, para ello primeramente necesitaremos que nuestro router nos haga una NAT a nuestro firewall. Algo muy común es trabajar directamente con IP’s públicas siendo el firewall el punto de entrada a nuestra red y el rotuer algo externo a la red, puesto que es de la compañía. Como no es mi caso voy a redireccionar todo el tráfico entrante de mi router a mi firewall. Esto dependerá del router de vuestro IPS, en mi caso como tengo un router ASUS conectado directamente a la ONT, tengo el control total sobre el mismo.
Una vez realizada la configuración anterior, accedemos a nuestro firewall y vamos al apartado «Firewall Ojbects»>»Virtual IPs»>»Virtual IPs»:
Le indicamos un nombre descriptivo, le asignamos la interfaz WAN. Y en el external IP Address deberíamos poner la IP de nuestra interfaz WAN, en caso de que solamente dispongamos una IPo bien si disponemos de varias IP’s públicas, la que más nos convenga. Como en mi caso solamente tengo una y ya estoy usando el puerto 80 para conectarme al firewall, deberé utilizar otro puerto, en este caso el 81.
Ahora solamente debemos crear una política que permita el NAT, nos dirigimos a «Policy»>»Policy» y creamos una nueva con la siguiente configuración:
- Incoming interface: port1 (WAN)
- Source address: All
- Outgoing Interface: port4 (DMZ)
- Destination Address: PUBLIC ( Aquí estamos añadiendo nuestra virtual IP )
- Service: HTTP
- Enable NTA: Habilitamos NAT
- Loggin Options: Log All Sessions
Una vez hecho esto si accedemos desde fuera de nuestra red con nuestra IP pública al puerto 81 veremos cómo nos redirecciona a nuestro servidor, en mi caso he montado un servidor web de test.
Como veis no es nada complicado y en pocos pasos podemos realizar dichas configuracions. En el próximo capítulo utilizaremos un proxy HTTP del firewall para hacer la redirección en función de los nombres.
Os dejo la siguiente entrada a la documentación de Fortinet.
¡Hasta la próxima!
