Fortigate Firewall Belirli ülkelerden HTTPS Erişim Kısıtlaması
Merhabalar;
Fortigate Firewall cihazınıza WAN IP üzerinden erişim sağlıyorsanız ve bu erişimi Coğrafi olarak sadece Türkiye IP lerine açmak istiyorsanız aşağıdaki adımları Fortigate Firewall cihazımızda tamamlamamız gerekmektedir.
1- Öncelik olarak WAN Interface’in https servisini açalım.
CLI üzerinden aşağıdaki komutla işlemi tamamlayabilirsiniz.
|
1 2 3 4 5 6 7 8 |
config system interface edit "wan1" set vdom "root" set ip WAN IP / SUBNET BİLGİLERİNİZ set allowaccess https set type physical next end |
Arayüz üzerinden ise Network->Interface->WAN1 yolu takip edilerek gerekli konfigürasyonları tamamlayabilirsiniz.
2- Coğrafi kısıtlama yapacağımız için CLI üzerinden aşağıdaki komutlarla işlemi tamamlayabilirsiniz.
|
1 2 3 4 5 6 7 |
config firewall address edit "TURKEY" set type geography set associated-interface "wan1" set country "TR" next end |
Arayüz üzerinden ise Policy & Object -> Addresses adımı takip ediyoruz. Bu bölümde Create New – Addresses diyoruz ve Coğrafi adresimizi oluşturuyoruz.
3- System -> Feature Visibility -> Local In Policy açıyoruz.
4- Ben Firewall’um da 443 portunu kullanmadığım için custom servis oluşturuyorum.
CLI üzerinden aşağıdaki komutla tamamlayabilirsiniz.
|
1 2 3 4 5 6 |
config firewall service custom edit "HTTPS_FGT_ADMIN" set category "Remote Access" -> İsteğe bağlıdır. Ben bu kategoriyi tercih ettim. set tcp-portrange 8282 next end |
Arayüz üzerinden ise Policy&Object -> Services -> New Service
5- Son adımımız olan Local In Policy oluşturuyoruz. Bu policy sadece CLI üzerinden yapılmaktadır. Bu nedenle aşağıdaki komut dizinine dikkat ederek ilgili servisimizi aktif hale getiriyoruz.
|
1 2 3 4 5 6 7 8 9 10 |
config firewall local-in-policy edit 1 set intf "wan1" set srcaddr "TURKEY" set srcaddr-negate enable set dstaddr "all" set service "HTTPS_FGT_ADMIN" set schedule "always" next end |
Bu kısa makalemde Basitte olsa WAN IP adresi üzerinden erişim sağladığımız Fortigate Firewall cihazlarımızın güvenliğini sağlamış olduk. TR lokasyonundaki IP ler üzerinden sorunsuz erişim gerçekleştirilebilmektedir. Opera Browser üzerinden yapmış olduğum testi aşağıda görebilirsiniz.
Faydalı olması dileğiyle.
Asia Lokasyonlu VPN Aktif durumdadır.
Fortigate üzerinden aldığımız debug çıktısında da görebilirsiniz.
|
1 |
vd-root:0 received a packet(proto=6, 77.111.245.13:29906->WANIPADRESI:8282) tun_id=0.0.0.0 from wan1. flag [S], seq 3099308757, ack 0, win 64240 allocate a new session-0e3d8399, tun_id=0.0.0.0 in-[wan1], out-[] len=1 checking gnum-100000 policy-24 result: skb_flags-02000000, vid-0, ret-no-match, act-accept, flag-00000000 find a route: flag=80000000 gw-WANIPADRESI via root in-[wan1], out-[], skb_flags-02000000, vid-0 gnum-100017, check-ffffffbffc02b8e4 after check: ret-no-match, act-accept, flag-00000000, flag2-00000000 in-[wan1], out-[], skb_flags-02000000, vid-0 gnum-100011, check-ffffffbffc02c8a0 after check: ret-no-match, act-drop, flag-00000000, flag2-00000000 gnum-100001, check-ffffffbffc02b8e4 checked gnum-100001 policy-1, ret-matched, act-accept ret-matched policy-1 is matched, <strong>act-drop</strong> |