Fortigate and SIP Problems


When configuring SIP on a FortiGate,  it is recommended to disable the SIP session-helper and work with the SIP Application Layer Gateway to ensure compatibility across SIP systems.
first:
1- Check the Session-helper number:
FGT# show system session-helper
edit 12 (1)
set name sip
set port 5060
set protocol 17
next
(1) Use this ID for the next step

2- then remove this session-helper:
FGT# config system session-helper
FGT#(session-helper) delete 12
FGT#(session-helper) end3 – Reboot the FortiGate in order for the above changes to take effect

3 – Reboot the FortiGate in order for the above changes to take effect
 
4 – Create a Protection Profile with SIP enabled
Instruction for FortiOS 4.0 and above

1 – Enter the following command to add an application control list called App_list_SIP, enable SIP support in the list, and limit REGISTER and INVITE requests to 100 requests per second per firewall policy (values are given as an example).

   config application list
edit App_list_SIP
config entries
edit 1
set category voip
set application SIP
set register-rate 100
set invite-rate 100
end
end

2 – Enter the following command to add the App_list_SIP to a protection profile called SIP_Profile.

config firewall profile
edit SIP_Profile
set application-list-status enable
set application-list App_list_SIP
end

More information.

Here

Comentarios

Publicar un comentario

Dime si la información de este blog te sirvio.

Entradas populares de este blog

Configuración de Hairpin NAT (VIP)

Imagen
 Thank to: https://fortixpert.blogspot.com/ Este artículo describe cómo configurar FortiGate para Hairpin con el uso de set match-vip y match-vip-only. En este escenario, tanto el PC como el Servidor están detrás de FortiGate y el PC quiere conectarse al Servidor apuntando a su dirección externa (92.0.2.10) en lugar de la real (10.10.10.10). Esto se llama Hairpin NAT. Solución : La solución dependerá de cómo sea el objeto IP Virtual (VIP). Solución 1 : La interfaz externa en el VIP está configurada a una interfaz particular (en este caso a wan1) #config firewall vip     edit "VIP"         set extip 92.0.2.10         set extintf 'wan1'         set mappedip 10.10.10.10     next end Nota: En este escenario, la IP externa VIP puede ser la misma que la IP de la interfaz (es decir, 92.0.2.2) Se necesitan dos políticas: 1) Una política de entrada con ...
Leer más

Deshabilitar los métodos HTTP peligrosos como PUT, DELETE y TRACE en Nginx

Imagen
  🔧 Paso 1: Editar el archivo de configuración de Nginx Objetivo: Configurar el servidor Nginx para que rechace solicitudes HTTP que usen los métodos PUT, DELETE y TRACE, devolviendo un código de estado 405 (Method Not Allowed) . ¿Por qué hacerlo? Por razones de seguridad . Algunos métodos HTTP como PUT , DELETE y TRACE pueden representar riesgos si no son utilizados correctamente. Si tu aplicación no los necesita, es recomendable deshabilitarlos. Instrucciones: Abre el archivo de configuración de Nginx. Generalmente se encuentra en: /etc/nginx/nginx.conf O también puede estar dentro del directorio: /etc/nginx/sites-available/ dependiendo de cómo esté estructurada tu instalación. Busca la sección que tenga location / { ... } o agrégala dentro del bloque server { ... } . Dentro de ese bloque, agrega las siguientes condiciones: location / { if ($request_method = PUT) { return 405; } if ($request_method = DELETE) { return 405; } ...
Leer más

Redundant or Backup ISP Links Configuration Example

Imagen
Thanks to:  http://www.cisco.com Introduction A problem with static routes is that no inherent mechanism exists to determine if the route is up or down. The route remains in the routing table even if the next hop gateway becomes unavailable. Static routes are removed from the routing table only if the associated interface on the security appliance goes down. In order to solve this problem, a static route tracking feature is used to track the availability of a static route and, if that route fails, remove it from the routing table and replace it with a backup route. This document provides an example of how to use the static route tracking feature on the PIX 500 Series Security Appliance or the ASA 5500 Series Adaptive Security Appliance in order to enable the device to use redundant or backup Internet connections. In this example, static route tracking allows the security appliance to use an inexpensive connection to a secondary Internet service provider (ISP) in the event th...
Leer más