Está en la página 1de 57

FortiGate I

Network Address Translation (NAT)

FortiGate 5.4.1
© Copyright Fortinet Inc. All rights reserved. Last Modified: 27 June 2017
1
Objectives
• Choose between firewall policy NAT vs. central NAT
• Configure firewall policy source NAT and destination NAT
(Virtual IP)
o Apply source NAT with IP pool (overload vs. one-to-one, fixed port range
and port block allocation)
o Configure destination NAT with virtual IPs or a virtual server

• Configure central NAT


o Configure source NAT with central SNAT policy
o Configure destination NAT with DNAT & Virtual IPs
• Use a SIP session helper for VoIP
• Understand the session table

2
NAT and PAT
• Network Address Translation – NAT
o Change an IP layer address of a packet
• Some protocols like SIP also have addresses
at the application layer, requiring session helpers/proxies
o Source Network Address Translation – SNAT Destination IP address
o Destination Network Address Translation – DNAT Destination port

• Port Address Translation – PAT


o Change the IP layer port number of a packet

Source IP address
Source port

3
• Además de las exploraciones de seguridad, las políticas de firewall también
determinan qué traducción de dirección de red (NAT) o traducción de dirección de
puerto (PAT) se aplican a cada paquete.

• NAT y PAT, también conocidos como NAPT, traducen direcciones IP internas,


normalmente privadas, a direcciones IP externas, normalmente públicas o de
Internet.

• En FortiOS, el NAT y el reenvío de tráfico se aplican a la misma directiva de


cortafuegos. Sin embargo, los diagnósticos muestran claramente NAT y reenvío
como acciones separadas.

• La opción NAT en una directiva de firewall y los conjuntos de direcciones IP son
NAT de origen.
• IPs virtuales son NAT de destino.

4
Firewall Policy NAT vs. Central NAT
• Two ways to configure source / destination NAT
• Firewall policy NAT
o Source NAT and destination NAT must be configured for each firewall policy
• Source NAT uses outgoing interface address or configured IP pool
• Destination NAT uses configured Virtual IP as destination address

• Central NAT
o Source NAT and destination NAT configurations are per virtual domain –
applies to multiple firewall policies based on SNAT and DNAT rules
• Source NAT rule is configured from central SNAT policy
• Destination NAT is configured from DNAT & Virtual IPs

5
• Cuando utiliza el modo NAT de directiva de firewall, debe configurar SNAT y DNAT para cada directiva de firewall.

• Las configuraciones NAT centrales son por dominio virtual (que se describen más adelante en el entrenamiento), lo
que significa que las configuraciones SNAT y DNAT se aplican automáticamente a varias directivas de cortafuegos,
de acuerdo con las reglas SNAT y DNAT que especifique.

• Como mejor práctica, cuando utilice NAT central, debe asegurarse de configurar reglas SNAT y DNAT específicas
para que coincidan sólo con las políticas de firewall que desee en su configuración.

• Tanto la política de firewall NAT y NAT central producen los mismos resultados.

• Un ejemplo sería una sucursal pequeña, donde tiene menos políticas de firewall. En este caso, puede utilizar NAT de
la directiva de firewall.

• En el caso de un proveedor de servicios gestionado, NAT central se puede utilizar para realizar SNAT y DNAT para
un dominio virtual que contiene un gran número de directivas de cortafuegos. Sólo tiene que configurar SNAT central
y reglas DNAT una vez, y se pueden aplicar a varias políticas de firewall.

6
Firewall Policy NAT
Firewall Policy NAT Using Outbound Interface
Firewall policy
with NAT enabled 192.168.10.10
wan1 IP address: 172.20.20.200

wan1
172.20.20.200

Source IP address:
internal 172.20.20.200
10.10.10.10
Source port: 30912

Source IP address: Destination IP address:


10.10.10.10 192.168.10.10
Source port: 1025 Destination Port: 80

Destination IP address:
192.168.10.10
Destination Port: 80

8
La opción NAT de origen utiliza la dirección de interfaz de salida cuando se habilita NAT en la directiva de firewall.
Este es un NAT muchos-a-uno. En otras palabras, se utiliza la traducción de direcciones de puertos (PAT) y las
conexiones se rastrean utilizando la dirección de origen original y las combinaciones de puertos de origen, así
como el puerto de origen asignado. Este es el mismo comportamiento que el tipo de grupo de IP de sobrecarga,
discutido más adelante.

Opcionalmente, puede seleccionar un puerto fijo, en cuyo caso la traducción del puerto de origen está
deshabilitada. Con puerto fijo, si dos o más conexiones requieren el mismo puerto de origen para una única
dirección IP, sólo se puede establecer una conexión.

En este ejemplo, se crea una directiva de firewall de interno a wan1 (dirección IP 172.20.20.200) y el usuario inicia
el tráfico desde el origen 10.10.10.10:1025 destinado a 192.168.10.10:80. Como NAT está habilitado en la
directiva de firewall, la dirección IP de origen se traduce a la interfaz de salida IP con traducción de puertos.

9
IP Pool Type: Overload
Firewall policy 192.168.10.10
with NAT + IP pool enabled
wan1 IP pool: 172.20.20.2- 172.20.20.10

wan1
172.20.20.200

Source IP address:
172.20.20.?
internal Source port: 30957
10.10.10.10
Destination IP address:
192.168.10.10
Source IP address: Destination Port: 80
10.10.10.10
Source port: 1025
Destination IP address:
192.168.10.10
Destination Port: 80

10
Si utiliza un grupo de direcciones IP, la dirección de origen se traduce a una dirección de ese grupo, en lugar de la
dirección de interfaz de salida. Cuanto mayor sea el número de direcciones en el grupo, mayor será el número de
conexiones que se pueden admitir.

El tipo de grupo IP predeterminado es sobrecarga. En la sobrecarga de tipo de agrupación de IP, se utiliza una
relación de muchos a uno o pocos y la traducción de puertos.

En este ejemplo, la IP de origen 10.10.10.10 se traducirá a una dirección IP del grupo de direcciones IP
(172.20.20.2 - 172.20.20.10).

11
IP Pool Type: One-to-One
• Default type is Overload
• Type One-to-one associates an internal IP with a pool IP on a
first-come, first-served basis
o Port address translation is disabled

• Refuses connection if no unallocated address

12
• En el tipo de agrupación uno a uno, se asigna una dirección IP
interna con una dirección externa en orden de llegada.

• Hay una sola asignación de una dirección interna a una


dirección externa. Las asignaciones no son fijas y si no hay
más direcciones disponibles, se rechazará una conexión.

• Además, en uno-a-uno, la traducción de direcciones de puerto


no es necesaria. En el ejemplo, puede ver que se muestra el
mismo puerto de origen tanto para la dirección de entrada
como de salida.

13
IP Pool Type: Fixed Port Range
• Type Fixed Port Range associates an internal IP range with an
external IP range
o Port address translation is disabled

14
• En el tipo de agrupación de rangos de puertos fijos,
proporciona una relación explícita entre rangos de direcciones
IP internas y rangos de direcciones IP externas e inhabilita la
traducción de direcciones de puertos. Permite la asignación fija
de IP de inicio interno / intervalo de IP final interno a IP de inicio
externo IP / rango de IP final.

• Este ejemplo utiliza un grupo de IP de rango de puerto fijo.

• El rango de direcciones internas 10.0.1.10-10.0.1.11 se asigna


al rango de direcciones externas 10.200.1.7-10.200.1.8.

15
IP Pool Type: Port Block Allocation
• Type Port Block Allocation assigns a block size and number
per host for a range of external IP addresses
o Using a small 64-block size and 1 block
hping --faster –p 80 –S 10.200.1.254

o Using an overload type


hping --faster –p 80 –S 10.200.1.254

16
• Estas dos salidas CLI ilustran la diferencia de comportamiento entre
el tipo de asignación de bloques de puertos y el tipo de sobrecarga
por defecto.

• Usando hping, un cliente deshonesto genera muchos paquetes SYN


por segundo. En el primer ejemplo, el tipo de asignación de bloques
de puertos limita al cliente a 64 conexiones para ese grupo de
direcciones IP. Otros usuarios no serán afectados por el cliente
pícaro.

• En el segundo ejemplo, el tipo de sobrecarga no impone límites y el


cliente deshonesto utiliza muchas más conexiones en la tabla de
sesiones. Otros usuarios se verán afectados.

17
Virtual IPs (VIPs)
• Destination NAT objects
• Default type is static NAT
o Can be restricted to forward only certain ports
• From the CLI, you can select either load-balance or
server-load-balance
• VIPs should be routable to the external facing (ingress)
interface for return traffic

18
• IPs virtuales (VIPs) son objetos NAT de destino. Para las sesiones que coincidan con un VIP, la dirección de destino
se traduce: normalmente, una dirección pública de Internet se traduce a una dirección de red privada del servidor.
Los VIP se seleccionan en el campo Dirección de destino de la directiva de firewall.

• El tipo VIP predeterminado es NAT estático. Se trata de una asignación uno a uno, que se aplica a las conexiones
entrantes y salientes. Es decir, una política saliente con NAT activado utilizaría la dirección VIP en lugar de la
dirección de interfaz de salida. Sin embargo, este comportamiento se puede anular mediante el uso de un grupo de
direcciones IP.

• El NAT NAT estático puede restringirse para reenviar sólo ciertos puertos. Por ejemplo, las conexiones a la IP
externa en el puerto 8080 se corresponden con la IP interna en el puerto 80.

• Desde la CLI, puede seleccionar el balance de carga del tipo NAT y el equilibrio de carga del servidor. El equilibrio de
carga simple distribuye las conexiones desde una dirección IP externa a varias direcciones internas. El último se
basa en ese mecanismo, utilizando un servidor virtual y servidores reales, y proporciona persistencia de sesión y
mecanismos de comprobación de disponibilidad del servidor.

• VIPs debe ser enrutable a la interfaz de cara externa (entrada). FortiOS responde a las solicitudes ARP para objetos
de grupo VIP e IP. Las respuestas ARP son configurables.

19
VIP Example

Firewall policy
with destination address virtual IP + Static NAT 192.168.10.10
wan1 IP address: 172.20.20.200

wan1

internal
10.10.10.10 Source IP address:
192.168.10.10
Destination IP address:
172.20.20.222
Destination Port: 80

VIP translates destination


172.20.20.222 -> 10.10.10.10

20
(Diapositiva contiene animación)

En este ejemplo, la dirección IP de origen 192.168.10.10 está intentando acceder a la dirección IP de destino
172.20.20.222 sobre el puerto TCP 80.

(hacer clic)

Las conexiones al VIP 172.20.20.222 son NATed al host interno 10.10.10.10.

Debido a que se trata de NAT estático, todas las conexiones salientes NATed de 10.10.10.10 utilizarán la
dirección VIP en el campo de destino del paquete, no la dirección de la interfaz de salida.

21
Policy Fall Through Exceptions – VIP
• Default behavior “If this policy does not match, try the next”
o Doesn’t block egress-to-ingress connection even deny policy is top of list
• Virtual IP policy (WAN to LAN)
config firewall policy
edit <policy ID for deny>
Action =Deny set match-vip enable
end

OR

config firewall policy


edit <policy ID for deny>
set dstaddr “Virtual IP object”
Still can access VIP from below
policy, even deny policy is on top of VIP end
the list

22
• En FortiOS 5.2 y 5.4, se permite que el tráfico pase a través de la siguiente política; Sin
embargo, cuando utiliza políticas de firewall VIP, puede haber algunas excepciones.

• Cuando se configuran VIP (s), para las conexiones entrantes (WAN a LAN), se comparará
primero con la tabla VIP.

• En este ejemplo trabajado, una directiva de firewall de WAN a LAN se configura con una
fuente específica y la acción se deniega. Hay una segunda política de firewall que permite el
acceso a VIP (la dirección de destino). Aunque la directiva de firewall de denegación se
encuentra en la parte superior de la lista, la segunda política de firewall le permite acceder a
la fuente denegada.

• Para bloquear el tráfico del origen denegado, debe habilitar la habilitación de conjunto-vip de
conjunto en la directiva de firewall de denegación, que omite la comprobación de ID VIP.
Como alternativa, puede configurar la dirección de destino como IP virtual en la directiva de
denegación en lugar de todos.

23
Central NAT
En esta sección, aprenderá a configurar NAT central para realizar NAT de origen y NAT de
destino.

Central SNAT y DNAT (VIP) es otro método de definición de origen y destino NAT. Esto
permite la traducción de direcciones de red con más granularidad en términos de control de
dirección IP, protocolo y traducción de puertos.
Central NAT
• Enabled or disabled from the CLI (only)
config system settings
set central-nat {enable|disable} Source NAT
end
o Must remove VIP and IP pool references from existing policies

config system settings


set central-nat enable
Cannot enable central-nat with firewall policy using vip (id=2).

• Once enabled, can configure from GUI


o Central SNAT: Source network address translation
o DNAT & Virtual IPs: Destination network address translation

• If upgrading FortiGate firmware from 5.2 to 5.4


o Must reconfigure central SNAT policy Destination NAT

26
• Antes de la versión 5.4 del firmware FortiGate, el NAT central sólo se podía configurar para NAT de origen. En la
versión 5.4 del firmware FortiGate, le permite configurar tanto SNAT central como DNAT (VIP).

• De forma predeterminada, el NAT central está deshabilitado y sólo se puede habilitar desde la CLI. Una vez
habilitado el NAT central, puede configurar estas dos opciones desde la GUI:

• Central SNAT: Traducción de la dirección de red de origen


• DNAT y IPs virtuales: Traducción de direcciones de red de destino

• ¿Qué sucede si intenta habilitar NAT central, pero todavía hay IP pool o VIP configurados en las políticas de firewall?

• La CLI no lo permitirá y se presentará con un mensaje que hace referencia a la ID de directiva de firewall con IP
virtual o grupo de direcciones IP. Debe eliminar las referencias de IP virtual o IP de las políticas de firewall existentes
para habilitar NAT central.

• Además, vale la pena mencionar que si el NAT central está habilitado en el firmware FortiGate 5.2, la tabla central-
nat en la configuración del sistema no se convierte si intenta actualizar al firmware 5.4 de FortiGate. Esto hace que
las políticas de firewall con NAT central utilicen la dirección IP de la interfaz de salida. Debe reconfigurar la política
SNAT central después de actualizar el firmware de FortiGate a 5.4.

27
Central SNAT
• SNAT configuration changes when central NAT is enabled
o Per Virtual Domain based

Central NAT Enabled Steps to Configure


Source NAT 1. Define IP pool
2. Configure central SNAT policy
3. Enable NAT on firewall policy

• If no matching central SNAT rule exists, FortiGate uses default destination interface address
o Processed from top to bottom
• Matching criteria based on Policy &Objects > Central SNAT
o Source address
o Destination address
o Protocol
o Source port
• Most protocols don’t need this

28
• A partir de FortiGate 5.4, se aplica una política SNAT central a un dominio virtual (VDOM) y no a una directiva de
firewall específica. La NAT en la directiva de firewall controla si se utiliza o no el SNAT central. Si NAT está habilitado
en una directiva de firewall, SNAT central se utiliza. (VDOM se discutirá más adelante en el entrenamiento.)

• Si los criterios de la política SNAT central coinciden con el tráfico basado en varias directivas de firewall, la política
SNAT central se aplicará a esas políticas de firewall siempre y cuando se habilite NAT en esas políticas de firewall.

• ¿Qué sucede si NAT está habilitado en una directiva de firewall cuando no hay ninguna política SNAT central
coincidente o no se ha configurado una política SNAT central? En este caso, si no existe una regla SNAT central
correspondiente, FortiGate usará automáticamente la dirección IP de la interfaz de salida para el NAT de origen.

• De forma similar a las políticas de firewall, una política SNAT central se procesa de arriba hacia abajo y si se
encuentra una coincidencia, la dirección de origen y el puerto de origen se traducen en función de esa directiva
SNAT central.

• Puede tener un control más granular sobre el tráfico que pasa a través de las políticas de firewall mediante la
definición de criterios de coincidencia en la política central de SNAT basada en:

• Dirección de la fuente
• Dirección de destino
• Protocolo
• Puerto de origen

29
Central SNAT Example

Central SNAT Policy Source IP: 172.20.20.10


Source port: 12543
Source all Destination IP: 192.168.10.10
Destination port: 80
Destination 192.168.10.10
Firewall Policy NAT enabled
Translated Address 172.20.20.10
(IP Pool)
Protocol TCP (6)
192.168.10.10

wan1
172.20.20.200

internal
Source IP: 10.10.10.1 192.168.10.20
Source port: 1050
Destination IP: 192.168.10.10 Source IP :172.20.20.200
Destination port: 80 Source port: 2456

Destination IP: 192.168.10.20 Destination IP: 192.168.10.20


Destination port: 80 Destination port: 80

30
• (Diapositiva contiene animación)
• En este ejemplo, la política SNAT central traduce la dirección IP de origen a la dirección definida del conjunto de
direcciones IP (172.20.20.10). Sin embargo, la traducción sólo tiene lugar si el tráfico coincide con todas las variables
definidas en la política SNAT central, es decir, el tráfico desde la dirección IP de origen debe estar destinado a la
dirección IP de destino (192.168.10.10) y al protocolo TCP. A título ilustrativo, sólo se utiliza una única dirección IP
para el destino y el tipo de grupo de IP está configurado para sobrecargarse con una sola dirección IP.
• (hacer clic)
• La directiva de firewall se crea desde interno hasta wan1 con NAT habilitado. Recuerde que la opción NAT de la
directiva de firewall controla si se utiliza o no una directiva SNAT central.
• (hacer clic)
• Si el usuario intenta cualquier sesión basada en TCP (por ejemplo, http, https) a la dirección IP de destino
192.168.10.10, la dirección IP de origen se traducirá a una dirección IP definida en la directiva NAT central.
• ¿Qué pasa si el usuario intenta enviar cualquier tráfico ICMP o UDP a 192.168.10.10? ¿Se traducirá la dirección de
origen al conjunto de direcciones IP definido en la directiva NAT central?
• (hacer clic)
• Como la política SNAT central no coincide, FortiGate usará automáticamente la dirección IP de la interfaz de salida
(wan1) para el NAT de origen. ¿Qué pasa si el usuario intenta el tráfico basado en TCP con otra dirección IP de
destino, 192.168.10.20? ¿Se traducirá la dirección de origen al conjunto de direcciones IP definido en la directiva
NAT central?
• (hacer clic)
• De nuevo, la dirección IP de destino de 192.168.10.20 no coincide con la política NAT central, por lo que FortiGate
utilizará la dirección IP de la interfaz de salida (wan1) para el NAT de origen.

31
Central DNAT & Virtual IPs
• Enabling central NAT changes Destination NAT configuration
o Per Virtual Domain based
Central NAT Enabled Steps to Configure
Destination NAT (VIP) 1. Define DNAT & Virtual IPs
(No additional configurations
required)

• As soon as Virtual IP is created, a rule is created in kernel to


allow DNAT to occur
o Firewall policy destination address – all or mapped IP of VIP
• VIP cannot be selected in firewall policy as destination address

32
• Tradicionalmente en FortiGate, IPs virtuales se seleccionan en la directiva de firewall como dirección
de destino.

• A partir del firmware de FortiGate 5.4, puede configurar DNAT y IPs virtuales para NAT de destino,
que también es por VDOM. Tan pronto como se configura VIP, FortiGate crea automáticamente una
regla en el kernel para permitir que el NAT de destino ocurra y no se requiere ninguna configuración
adicional.

• ¿Pierde la granularidad de poder definir una política de firewall para un VIP y servicios específicos?

• No, no lo hace, suponiendo que tiene varias pocas políticas internas, y varios VIPs, y desea permitir
servicios para algunos VIPs y otros servicios para otros VIPs. Puede definir cada directiva de firewall
con la dirección de destino de la IP asignada del VIP y seleccionar los servicios adecuados para
permitir o denegar.

• Tenga en cuenta que si se configuran tanto el SNAT central como el DNAT central (VIP), el tráfico
de salida (interno a wan) proporcionará NAT a la dirección DNAT / VIP, basándose en las
configuraciones centrales SNAT y DNAT (VIP).

33
DNAT & Virtual IPs Example

DNAT & Virtual IPs Firewall policy destination address


External 172.20.20.222 – all or mapped IP of VIP
IP/Address Range
192.168.10.10
Mapped IP 10.10.10.10
Address/Range

wan1
172.20.20.200

Source IP address:
192.168.10.10
VIP translates destination internal
172.20.20.222 -> 10.10.10.10 Destination IP address:
172.20.20.222
Destination Port: 80

10.10.10.10

34
(Diapositiva contiene animación)

En este ejemplo, se crea una regla DNAT y IPs virtuales para asignar la dirección IP externa 172.20.20.222 a la
dirección IP interna 10.10.10.10. Recuerde, tan pronto como se crea una IP virtual, se crea una regla en el kernel
para permitir que ocurra DNAT.

(hacer clic)

Se crea la directiva de firewall de wan1 a interna con la dirección de destino all o la dirección / intervalo IP
asignado (10.10.10.10) del VIP.

(hacer clic)

La dirección IP de origen 192.168.10.10 está tratando de acceder a la dirección IP de destino 172.20.20.222 a


través del puerto TCP 80. Las conexiones al VIP 172.20.20.222 son NATed al host interno 10.10.10.10, sin
ninguna configuración adicional.

35
Disabling Central NAT
• If central NAT is enabled and configured for SNAT and DNAT,
and then disabled:
o Outgoing traffic may SNAT to egress interface IP address
o Incoming traffic previously configured with DNAT & Virtual IPs will stop
working

36
• El NAT central se puede deshabilitar desde la CLI ejecutando set central-nat disable bajo la
configuración del sistema de configuración. ¿Qué sucede con las políticas de firewall que
utilizan reglas SNAT y DNAT centrales, si el NAT central está deshabilitado?

• Las directivas de firewall de entrada a saliente pueden seguir funcionando con la dirección IP
de la interfaz de salida. Sin embargo, las directivas de firewall entrantes a salientes no
utilizarán las direcciones de grupo de direcciones IP, que anteriormente estaban vinculadas a
la directiva SNAT central. Si necesita usar el grupo de direcciones IP, debe editar la directiva
de firewall para usar el grupo de direcciones IP.

• Las políticas de firewall de ingreso a ingreso que usan DNAT y IP virtual dejarán de funcionar
porque, en NAT central, la dirección de destino en la directiva de firewall es simplemente un
objeto de dirección, no un VIP real. Sin el gancho central-nat en la tabla de DNAT, el objeto
de dirección causará un fallo de verificación de política de forward - el tráfico será negado por
el ID de directiva 0.

• Debe editar las directivas de firewall de salida a entrada y seleccionar VIP como dirección de
destino.

37
Session Helpers
Session Helpers
• Some traffic types require more packet modification for the
application to work
o Configurable via CLI
• For example:
o Handlingof FTP passive mode connections: control connection is separate
from data connection
o Header rewrites in SIP SDP payloads required because of NAT actions
• To show configured session helpers:
show system session-helper

39
• Algunos protocolos de capa de aplicación no son totalmente
independientes de las capas inferiores, como la capa de red o de
transporte. Las direcciones pueden repetirse en la capa de aplicación,
por ejemplo. Si el ayudante de sesión detecta tal patrón, puede cambiar
los encabezados de la aplicación o crear las conexiones secundarias
necesarias.

• Un buen ejemplo es cuando una aplicación tiene un control y un canal de


datos o medios, como con FTP. Normalmente, los cortafuegos permiten
al canal de control y dependen de los auxiliares de sesión para manejar
los datos dinámicos o las conexiones de transmisión de medios.

• Cuando se requiere un seguimiento y control de aplicaciones más


avanzados, se puede utilizar una puerta de enlace de capa de aplicación
(ALG). El perfil de VoIP es un ejemplo de un ALG.

40
Session Helpers: SIP Example
• Stateful firewall with NAT of 172.16.1.2 to 201.11.1.3
Firewall opens a “pinhole”
to allow the traffic that will IP address inside the
come to port 12546 payload is NATed
Send the media traffic to Send the media traffic to
IP address 172.16.1.2, IP address 201.11.1.3,
UDP port 12546 UDP port 12546

172.16.1.1 201.11.1.3

172.16.1.2
Media traffic to 172.16.1.2, Media traffic to 201.11.1.3,
port 12546 port 12546

Incoming media traffic is


allowed even when no
firewall policy has been
explicitly configured

41
• En este ejemplo, la dirección del destinatario de medios en la carga
útil SDP de SIP se modifica para reflejar la dirección IP NAT.
• (hacer clic)

• Observe cómo, debido a que las políticas de firewall tienen estado, se


abre un agujero de alfiler para permitir tráfico de respuesta,

• (hacer clic)

• Aunque no haya creado explícitamente una directiva de firewall para


permitir el tráfico entrante. Este concepto se utiliza con algunos otros
protocolos también, como NAT-T para IPsec.

42
Sessions
Session Table
• Accepted IP sessions tracked in kernel’s session table
o Hardware acceleration affects this
• Stores information about the session
o Source and destination addresses, port number pairs, state, timeout
o Source and destination interfaces
o Source and destination NAT actions
• Performance metrics FortiView > All Sessions
o Max. concurrent sessions
o New sessions per second

44
• Puede ver la página Todas las sesiones desde la GUI, pero la
CLI proporciona más información sobre las sesiones en la tabla
de sesiones.

• El rendimiento del firewall de las conexiones por sesión y el


número máximo de conexiones se indican en la tabla de
sesiones. Pero tenga en cuenta que si su FortiGate contiene
chips FortiASIC NP diseñados para acelerar el procesamiento
sin cargar la CPU, esto puede no ser completamente exacto.
La tabla de sesión refleja lo que se conoce y procesa la CPU.

45
Session TTL (time to live)
• Reducing timers may improve performance when session table
is full by closing sessions earlier
o Don’t close too soon, though… Can cause connection errors

Specific state timers


TCP default TTL
config system global
config system session-ttl set tcp-halfclose-timer 120
set default 3600 set tcp-halfopen-timer 10
end set tcp-timewait-timer 1
set udp-idle-timer 60
end

• Timers can be applied in policies and objects, and have


precedence:
o Firewall Services > Firewall Policies > Global Sessions

46
• Cada sesión en el FortiGate puede permanecer inactiva por un
tiempo finito, que se define por tiempo de vida (TTL). Una vez
que el FortiGate detecta que la sesión está inactiva después de
algún tiempo de inactividad y se alcanza TTL, la sesión se
elimina de la tabla de sesiones.

• Dado que la tabla de sesiones tiene una cantidad finita de RAM


que puede utilizar en su FortiGate, el ajuste de la sesión TTL
puede mejorar el rendimiento. Hay temporizadores
predeterminados globales, temporizadores de estado de sesión
y temporizadores configurables en objetos de cortafuegos.

47
diagnose sys session
• The session table also indicates policy actions
o Clear any previous filter
diagnose sys session filter clear
o Set the filter
diagnose sys session filter ?
dport destination port
dst destination IP address
policy policy id
sport source port
src source ip address
o List all entries matching the configured filter
diagnose sys session list
o Purge all entries matching the configured filter
diagnose sys session clear

48
• El árbol de comandos diagnosticar sys session proporciona
muchas opciones para filtrar, borrar o mostrar la lista de
sesiones. También puede enumerar información breve acerca
de las sesiones ejecutando el comando get CLI de la lista de
sesiones del sistema.

• Antes de examinar la tabla de sesiones, primero construya un
filtro. Para ver nuestra conexión de prueba, puede filtrar en dst
10.200.1.254 y dport 80.

49
Session Table: TCP Example
# diagnose sys session filter dst 10.200.1.254
# diag sys session filter dport 80
TCP state
# diag sys session list Session TTL
session info: proto=6 proto_state=05 duration=2 expire=78 timeout=3600 flags=00000000
sockflag=00000000 sockport=0 av_idx=0 use=3
origin-shaper=
reply-shaper= Routing operation
per_ip_shaper=
ha_id=0 policy_dir=0 tunnel=/ vlan_cos=0/255
state=may_dirty
statistic(bytes/packets/allow_err): org=538/6/1 reply=5407/6/0 tuples=2 speed(Bps/kbps):2596/20
orgin->sink: org pre->post, reply pre->post dev=5->3/3->5 gwy=10.200.1.254/10.0.1.10
hook=post dir=org act=snat 10.0.1.10:64624->10.200.1.254:80(10.200.1.1:64624)
hook=pre dir=reply act=dnat 10.200.1.254:80->10.200.1.1:64624(10.0.1.10:64624)
pos/(before,after) 0/(0,0), 0/(0,0)
misc=0 policy_id=1 auth_info=0 chk_client_info=0 vd=0 NAT operation
serial=00023a22 tos=ff/ff ips_view=0 app_list=0 app=0 url_cat=0
dd_type=0 dd_mode=0
Policy ID

50
# En este ejemplo, puede ver la sesión TTL, que refleja
durante cuánto tiempo FortiGate no puede recibir paquetes
hasta que eliminará la sesión de su tabla.

# Aquí puede ver las acciones de enrutamiento y NAT que se


aplican al tráfico. También se rastrea el ID de la
directiva de firewall.

# El proto_state para TCP se toma de su máquina de estado,


de la que hablaremos a continuación.

51
TCP States
proto_state=05
o First digit: client-side state SYN
• 0 if not proxy-based inspection
o Second digit: server-side state SYN / ACK 02

TCP State Value Expire Timer in sec (default) ACK 03


NONE 0 10

ESTABLISHED 1 3600

SYN_SENT 2 120
01
SYN & SYN/ACK 3 60

FIN_WAIT 4 120 FIN


TIME_WAIT 5 120
CLOSE 6 10 FIN / ACK 04
CLOSE_WAIT 7 120
LAST_ACK 8 30 05
LISTEN 9 120

52
• En la diapositiva anterior, recuerde que la tabla de sesión contenía un número que indicaba
el estado TCP actual de la conexión. Estos son los estados de la máquina de estado TCP.
Son valores de un solo dígito, pero proto_state siempre se muestra como dos dígitos. Esto se
debe a que FortiGate es un firewall con estado y mantiene un seguimiento de la dirección
original (estado del lado del cliente) y la dirección de respuesta (estado del lado del servidor).
Si hay demasiadas conexiones en el estado SYN durante largos períodos de tiempo, esto
indica una inundación SYN, que se puede mitigar con directivas DoS.

• Este gráfico de tabla y flujo correlaciona el segundo valor de dígito con los diferentes estados
de sesión TCP. Por ejemplo, cuando FortiGate recibe el paquete SYN, el segundo dígito es
2. Va a 3 una vez que se recibe SYN / ACK. Después del handshake de tres vías, el valor de
estado cambia a 1.

• Cuando una sesión está cerrada por ambos lados, FortiGate lo mantiene en la tabla de la
sesión durante unos segundos más, para permitir cualquier paquete fuera de orden que
podría llegar después del paquete FIN / ACK. Este es el valor de estado 5.

53
ICMP and UDP Protocol States

• Even though UDP is stateless, UDP


FortiGate still uses two session UDP
state values: 00
UDP State Value
UDP
UDP traffic one way only 0
UDP traffic both ways 1 UDP
UDP

UDP 01
• ICMP has no state
o proto_state is always 00 UDP

54
• Aunque UDP es un protocolo orientado a mensajes, apátrida - no
requiere intrínsecamente confirmado conexiones bidireccionales
como TCP, por lo que no hay estado de conexión. Sin embargo, la
tabla de sesión de FortiGate utiliza el campo proto_state = para
rastrear UDP unidireccional como estado 0 y UDP bidireccional como
estado 1.

• Cuando FortiGate recibe el primer paquete, crea la entrada y


establece el estado en 0. Si el destino responde, FortiGate actualiza
el indicador de estado a 1 para el resto de la conversación.

• En particular, ICMP, como ping y traceroute, no tienen estado de


protocolo y siempre mostrará proto_state = 00.

55
Review
 Choose between firewall policy NAT and central NAT
 Different types of IP pools configuration for source NAT
 Virtual IPs configuration for destination NAT
 Central SNAT policy configuration for source NAT
 DNAT & Virtual IPs
 Use a SIP session helper for VoIP
 How to interpret the session table

56
 Para revisar, discutimos:

 Elegir entre la política de firewall NAT y NAT central


 Diferentes tipos de configuración de pools de IP para NAT de
origen
 Configuración de IPs virtuales para NAT de destino
 Configuración de la política SNAT central para NAT de origen
 DNAT y IPs virtuales
 Utilizar un ayudante de sesión SIP para VoIP
 Cómo interpretar la tabla de sesión

57