How Public Web Server in Foritgate

Thanks to: https://community.fortinet.com/

Description
This article describes how to use Virtual IPs (VIPs) to configure port forwarding. 
This configuration allows users on the Internet to connect to the server protected behind a firewall, without knowing the server’s internal IP address and only through chosen ports.

Solution
Diagram:




1) Creating three VIPs.

Go to Policy & Objects -> Virtual IPs -> Create New -> Virtual IP.
Enter the External IP Address/Range.
Next, enter the mapped IP Address/Range.
Enable Port Forwarding and add a VIP for TCP port 80, webserver-http.
While this example maps port 80 to port 80, any valid external service port can be mapped to any listening port on the destination.




Next, create a second VIP for TCP port 21, webserver-ftp.






Finally, create a third a VIP for TCP port 22, webserver-ssh.





2) Adding VIPs to a VIP group.

Go to Policy & Objects -> Virtual IPs -> Create New -> Virtual IP Group.
Create a VIP group, in this example, webserver group.
Under Members, include all three VIPs previously created.




3) Creating a security policy.

Go to Policy & Objects -> IPv4 Policy and create a security policy allowing access to a server behind the firewall.
Set Incoming interface to the Internet-facing interface, outgoing interface to the interface connected to the server, and destination address to the VIP group (webserver group).
If the FortiGate has Central NAT enabled, the VIP objects will not be available for selection in the policy editing window.
Set service to allow HTTP, FTP, and SSH traffic.

NAT is disabled for this policy so that the server sees the original source addresses of the packets it receives.
This is the preferred setting for a number of reasons.
For example, the server logs will be more meaningful if they record the actual source addresses of users.
Use the appropriate security profiles to protect the servers.





Result.

To ensure that TCP port 80 is open, connect to the web server from a remote connection on the other side of the firewall.





Next, ensure that TCP port 21 is open by using an FTP client to connect to the FTP server from a remote connection on the other side of the firewall.





Finally, ensure that TCP port 22 is open by connecting to the SSH server from a remote connection on the other side of the firewall.



Comentarios

Publicar un comentario

Dime si la información de este blog te sirvio.

Entradas populares de este blog

Guía de herramientas básicas para estudiantes: 31 apps y webs imprescindibles para ayudarte con los estudios

Imagen
  Te traemos una guía con   31 aplicaciones y herramientas web para ayudarte como estudiante , una colección muy variada para sacar provecho en diferentes ámbitos en los que puedas necesitarlo. Nos hemos dejado fuera el ámbito educativo para los más jóvenes, recursos que tenemos en   esta otra guía , y nos hemos centrado en estudiantes más adultos. Hemos decidido centrarnos en herramientas prácticas, dejando fuera las plataformas para cursos online, tanto  las más conocidas  como  otras menos conocidas . Lo que hemos preferido buscar son recursos que puedas usar en tu día a día, como gestores de fuentes y citaciones, herramientas para diagramas, para intercambiar apuntes o para crear diferentes contenidos. Y lo que decimos siempre en Xataka Basics hoy cobra más sentido que nunca. Nosotros te traemos 31 herramientas, pero te invitamos a  compartir tus propuestas en la sección de comentarios  para que el resto de usuarios también pueda beneficiarse de los conocimientos de nuestros xatake
Leer más

Comando FOR para archivos BAT

Gracias a: http://profesoremiliobarco.blogspot.com/ El comando FOR sirve para ejecutar bucles de instrucciones, y es una instrucción que se encuentra disponible en todos los lenguajes de programación. Un bucle son varias repeticiones de algunas instrucciones. Este comando suele ser el más complicado de entender para las personas que empiezan a escribir archivos BAT complejos. Aqui intentaré explicar todas las opciones y usos del comando FOR, así como intentar resolver las dudas que los usuarios de Internet me puedan plantear. La sintaxis normal del comando FOR es: FOR %var IN (lista) DO (      comando     comando      ... )  Pero si lo vamos a usar dentro de un archivo BAT será así: FOR %%var IN (lista) DO (      comando     comando      ... ) Observa que la variable "var" ahora va precedida por dos simbolos de "%". Además, si este for está dentro de un archivo BAT, el nombre de la variable debe ser UNA SOLA LETRA (p.ej: %%n, %%i,  %%j , etc
Leer más

Policy Based Routing example: route one subnet via ISP A and another via ISP B

Imagen
thanks to: http://glennmatthys.wordpress.com/ Goal Setup a network with a Cisco router that routes one local subnet via internet connection A and another local subnet via internet connection B. In this example we’ll use one LAN side, which has two subnets: 192.168.1.0/24 192.168.2.0/24 We want traffic destined for the internet, originating from the 192.168.1.0/24 network, to be sent to ISP A, which is connected to FastEthernet0 We want traffic destined for the internet, originating from the 192.168.2.0/24 network, to be sent to ISP B, which is connected to FastEthernet1 Both internet connections get their IP address via DHCP. Prerequisites For this  configuration you’ll need: One dual WAN router, such as a 1811 Two internet connections (or simulated ones) 2 nodes, one for the 192.168.1.0/24 subnet and one for the 192.168.2.0/24 subnet. These can be two different computers, or two virtual machines, etc… ClientA, Windows 7, will connect to 192.168.1.0/24 and sur
Leer más