Fortigate 60

[moar70]

Hallo!

Ich habe seit "kurzem" eine Fortigate 60 und wollte diese entsprechend meinen verfügbaren services (Port 21,22,80,5800,5900 etc.) auf einem "Pseudo-Server" (win xp sp3) zu konfigurieren.

Bisher wurden von mir sowohl predefined services (ftp & http, ssh) als auch custom (2000 für RemotelyAnywhere) erstellt und policies wie folgt erstellt:


SERVICE [http]:

"SERVER"
tcp/udp [tcp]
source-port (low/high) = 1/65535 ; dest-port (low/high) 80/80

detto für dest-port: 2000

POLICY:

internal > external (WAN1) = source: all (0.0.0.0/0.0.0.0) > destination: all (0.0.0.0/0.0.0.0) - service: any - ACCEPT - ALWAYS

external (WAN1) > internal = source: all (0.0.0.0/0.0.0.0) > destination: all (0.0.0.0/0.0.0.0) - service: any -ACCEPT - ALWAYS

external (WAN1) > internal = source: all (0.0.0.0/0.0.0.0) > destination: all (0.0.0.0/0.0.0.0) - service: "SERVER" -ACCEPT - ALWAYS

VIRTUAL-IP:

external (WAN1)-ip-/range = 0.0.0.0
internal-IP = 192.168.1.12
ext-(source-)-port = 80
map to port = 80
PORT-FORWARDIN = enabled

Leider habe ich mittlerweile 0 Ahnung wie ich es korrekt anstelle, da ich bisher "alles" (welches ich der Administration Guide entnommen habe) probiert habe ...

Nachfolgend meine Netzwerk-config:

external (WAN1) 8x.xxx.xx.xxx / MAC .... (Status: ONLINE)
internal 192.168.1.0/255.255.255.0

Wer kennt sich mit dem Teil aus und kann/will mir bei der config behilflich sein?

Soviel vorweg - mein Internet-Anschluss = UPC chello extreme, bin zumindest ONLINE

Vielen Dank schon mal für eure zahlreichen hints/Tipps & Co.

MoaR

[maxb]

ich kenn mich zwar mit dem "trum" nicht aus, habe aber selbst eine "komplizierte" firewall zuhause

folgendes ist mir aufgefallen

Zitat:

external (WAN1) > internal = source: all (0.0.0.0/0.0.0.0) > destination: all (0.0.0.0/0.0.0.0) - service: any -ACCEPT - ALWAYS

sieht so aus, als ob du alles reinlässt?

gehört nicht als letzte regel immer soetwas?->

Zitat:

external (WAN1) > internal = source: all (0.0.0.0/0.0.0.0) > destination: all (0.0.0.0/0.0.0.0) - service: any -DENY- ALWAYS

[moar70]

Ja, ich weiß - das hab' ich zum Testen configuriert ... und selbst das hilft nicht

[moar70]

An Alle - Problem bereits gelöst - wie immer falscher Ansatz bzw. kleiner Denkfehler - ausgemerzt und schon hat's geklappt!

[ERRA]

Ja, aber was nun genau die Lösung?

[edit]Fragestellung umgebaut

[Baron]

Zitat:

Zitat von ERRA

Ja, aber was nun genau die Lösung?
[edit]Fragestellung umgebaut

Es fehlt noch immer ein "war" .
Und du erwartest dir noch eine Antwort? Problem gelöst -user verschwunden!
Wahrscheinlich unter seiner schlafhauben eingschlafen!

[moar70]

Zitat:

Zitat von Baron

Es fehlt noch immer ein "war" .
Und du erwartest dir noch eine Antwort? Problem gelöst -user verschwunden!
Wahrscheinlich unter seiner schlafhauben eingschlafen!

Sorry, war n.a. - im Spital - OP am rechten Handgelenk

Des Rätsels Lösung:

VIRTUAL-IP:

external (WAN1)-ip-/range = 0.0.0.0 ----> fixe WAN-IP eintragen (e.g. 8x.x.x.x)
internal-IP = 192.168.1.12
ext-(source-)-port = 80 ----> port-range = 1-65535
map to port = 80
PORT-FORWARDING = enabled

voila - well done!

lG
MoaR