logo elektroda
logo elektroda
X
logo elektroda
REKLAMA
REKLAMA
Adblock/uBlockOrigin/AdGuard mogą powodować znikanie niektórych postów z powodu nowej reguły.

Fortios 5.6: Jak ograniczyć przepustowość dla http i https?

Pawel1924 02 Mar 2018 08:57 4584 42
Najlepsze odpowiedzi

Jak w FortiOS 5.6 ograniczyć przepustowość tylko dla ruchu HTTP i HTTPS?

Tak — zrób regułę w Traffic Shaping Policy i w polu Service wybierz HTTP oraz HTTPS, wtedy limit obejmie tylko ten ruch [#17074663] W politykach FortiGate możesz też zawężać ruch po źródle, celu, aplikacji i kategoriach URL, więc filtr da się później doprecyzować pod konkretne potrzeby [#17075280]
Podsumowanie AI na podstawie dyskusji. Może zawierać błędy.
REKLAMA
  • #1 17074091
    Pawel1924
    Poziom 20  
    Posty: 1137
    Ocena: 128
    Witam, czy da się ograniczyć przepustowość internetu ale tylko dla http i https?
  • REKLAMA
  • REKLAMA
  • #3 17075015
    Pawel1924
    Poziom 20  
    Posty: 1137
    Ocena: 128
    Dziękuje za odpowiedz, a da się z tego zakresu wykluczyć aplikacje? Chciałem zablokować https ale wykorzystuje go jedna aplikacja.

    A czy dało by radę np. Ograniczyć prędkość przesyłania dla konkretnej strony? Np. Nie chce blokować youtuba ale chce aby działa wolno np z prędkością 2Mbps , a reszta stron bez ograniczeń.

    Czy lepiej wykorzystać qos w gpo w2012 r2?
  • Pomocny post
    #4 17075280
    jprzedworski
    Specjalista Sieci, Internet
    Posty: 5371
    Pomógł: 758
    Ocena: 828
    Nie pracuję z rozwiązaniami Fortgate tylko z innymi, ale chyba to wszystko jest możliwe W politykach można określić źródło, cel, aplikacje, kategorie URL itd. Na pewno więcej możliwości niż ma GPO jeśli chodzi o połączenie z internetem. Lektura na długie zimowe wieczory:
    https://docs.fortinet.com/uploaded/files/3999/fortios-handbook-56.pdf
  • #5 17079208
    Pawel1924
    Poziom 20  
    Posty: 1137
    Ocena: 128
    tam jest prawie 3500 stron:)
    Realnie nie dam rady :) Może ktoś jednak poprowadzi za rączkę z tym ograniczeniem na youtube?
  • #6 17088474
    Pawel1924
    Poziom 20  
    Posty: 1137
    Ocena: 128
    Dobra, jednak nie jest tak źle. Wiem już jak to zrobić ale...
    Mam serwer z dhcp z podsiecią 192.193.194.x, utm wstawiłem przed serwer na nim mam sieć 192.168.1.x

    Problem polega na tym że firewall widzi wszystkie połączenia z adresem ip serwera bo tam jest dhcp.

    Czy da się jakoś ograniczyć połączenia konkretnym adresom ip z sieci 192.193.194.x?
  • #7 17090956
    IC_Current
    Specjalista Sieci, Internet
    Posty: 9146
    Pomógł: 1499
    Ocena: 2514
    Pawel1924 napisał:
    Dobra, jednak nie jest tak źle. Wiem już jak to zrobić ale...
    Mam serwer z dhcp z podsiecią 192.193.194.x, utm wstawiłem przed serwer na nim mam sieć 192.168.1.x

    Problem polega na tym że firewall widzi wszystkie połączenia z adresem ip serwera bo tam jest dhcp.

    Czy da się jakoś ograniczyć połączenia konkretnym adresom ip z sieci 192.193.194.x?


    Przecież masz całkowicie źle zaprojektowaną sieć.
    1. W sieci wewnętrznej używasz adresów publicznych ?
    2. Ten serwer pewnie robi NAT, więc wszystkie połączenia są z adresem serwera.
    3. Na FG tworzysz polisy "Zezwól" "Odmów" "Sprawdzaj" dla konkretnego ruch (IP, aplikacje, dscp, adresy itd itp itz oraz wszelkie kombinacje pomiędzy wcześniejszymi). Polisy są analizowane wg kolejności na liście. Najpierw polisa z Twoją aplikacją, później polisa dla reszty HTTP.
    4. Wydałeś kilka tysięcy za FG, wydaj jeszcze tysiąc na dobrego informatyka, żeby Ci to porządnie skonfigurował, bo inaczej ten firewall będzie tyle warty, co TP-Link za 300zł.
    Pomogłem? Kup mi kawę.
  • #8 17091642
    Pawel1924
    Poziom 20  
    Posty: 1137
    Ocena: 128
    Czemu źle?
    ISP-UTM-Serwer-Komputery
    UTM dostaje adres od isp, na nim jest serwer DHCP. Pod utm podłączony jest serwer na którym mam ad, dhcp. Z serwera do switcha i do komputerów.

    W związku z tym utm widzi wszystkie połączenia z komputerów jako adres serwera.
  • REKLAMA
  • #9 17092013
    jprzedworski
    Specjalista Sieci, Internet
    Posty: 5371
    Pomógł: 758
    Ocena: 828
    Pawel1924 napisał:
    W związku z tym utm widzi wszystkie połączenia z komputerów jako adres serwera.
    To na serwerze jest NAT? To, w ogóle, dziwna konfiguracja sieci. Nie widzę powodu, żeby ruch internet - komputery przechodził przez serwer, bo co nowego wnosi ten serwer. Od zabezpieczenia ruchu jest FG. Serwer, skoro jest serwerem domeny, powinien być w tej samej sieci co komputery, albo w wydzielonej strefie FG z odpowiednimi regułami routingu i firewalla. Ale nie jako pośrednik do internetu.
  • #10 17092243
    Pawel1924
    Poziom 20  
    Posty: 1137
    Ocena: 128
    No jak nat. Nat jest na utm.
    W serwerze 2 karty, jedna dostaje adres z utm, a na drugiej działa dhcp dla komputerów, ustawiony routing.
  • REKLAMA
  • #11 17092307
    IC_Current
    Specjalista Sieci, Internet
    Posty: 9146
    Pomógł: 1499
    Ocena: 2514
    Pawel1924 napisał:
    No jak nat. Nat jest na utm.
    W serwerze 2 karty, jedna dostaje adres z utm, a na drugiej działa dhcp dla komputerów, ustawiony routing.


    Czyli dokładnie tak jak się tego nie powinno robić pracując z UTM.
    Nie wiem o jakiej skali sieci mówimy i czy UTM to malutkie 30E, czy jakiś kombajn.
    Jeśli to malutki 30E, to powinieneś mieć: ISP-UTM-reszta_sieci. W FG od strony switcha generujesz minimum 4 VLANy: a) Serwery+zarządzanie urządzeniami sieciowymi b) Stacje robocze c) WiFi dla klientów d) DMZ. W serwerze podłączasz 1 kartę do UTM, ewentualnie robisz agregację portów. Dalej tworzysz strefy (Internet, serwery, pc ...) oraz ustawiasz reguły ruchu pomiędzy tymi strefami. Do serwera obcinasz wszystko, z wyjątkiem tylko tego co ewidentnie niezbędne.
    UTM spinasz przez LDAP +SSO z AD i dostajesz bazę użytkowników dla VPN oraz możesz każdemu użytkownikowi udzielić praw i zasad dostępu do zasobów np w Internecie.
    Pomogłem? Kup mi kawę.
  • #12 17092331
    jprzedworski
    Specjalista Sieci, Internet
    Posty: 5371
    Pomógł: 758
    Ocena: 828
    Pawel1924 napisał:
    utm widzi wszystkie połączenia z komputerów jako adres serwera
    Tak napisałeś. Pakiet TCP zawiera adres źródła i adres celu. Jeśli jest routing, pakiet przechodzi do kolejnej sieci bez zmiany. Przy NAT nap. adres źródła jest zamieniany na adres routera. W serwerze raczej nie ma NAT tylko routing, więc UTM powinien widzieć adresy komputerów a nie serwera.
    Pytanie tylko, po co w ogóle ten routing przez serwer. Czy, poza AD, ma on jakieś funkcje, że tak to zostało zrobione? Najprościej powinno być tak:
    IC_Current napisał:
    ISP-UTM-reszta_sieci
    W tej reszcie sieci serwer i komputery razem. Jeśli zależy na lepszej separacji, można zrobić VLAN-y - opis jak wyżej albo jeszcze inaczej. Ale nie widzę sensu przepuszczania wszystkiego przez serwer. Chyba że czegoś nie wiem.
  • #13 17092359
    Pawel1924
    Poziom 20  
    Posty: 1137
    Ocena: 128
    Poprostu wcześniej nie było utm, wiec musiałem mieć dhcp na serwerze. Dokupiłem utm i chce to poprawnie podłączyć. Czyli rozumiem ze role dhcp powinien realizować utm? Na serwerze mam, iis,ad,dns,dhcp,serwer plików. Utm to najniższy model.
  • #14 17092366
    IC_Current
    Specjalista Sieci, Internet
    Posty: 9146
    Pomógł: 1499
    Ocena: 2514
    jprzedworski napisał:
    Pawel1924 napisał:
    utm widzi wszystkie połączenia z komputerów jako adres serwera
    Tak napisałeś. Pakiet TCP zawiera adres źródła i adres celu. Jeśli jest routing, pakiet przechodzi do kolejnej sieci bez zmiany. Przy NAT nap. adres źródła jest zamieniany na adres routera. W serwerze raczej nie ma NAT tylko routing, więc UTM powinien widzieć adresy komputerów a nie serwera.
    Pytanie tylko, po co w ogóle ten routing przez serwer. Czy, poza AD, ma on jakieś funkcje, że tak to zostało zrobione?


    Ten UTM w monitorze sesji identyfikuje komputery po IP, ale już w monitorze urządzeń po MAC więc każdy komputer zdalny wyświetli się jako router ( z jednym MAC, ale z wieloma IP).
    Pomogłem? Kup mi kawę.
  • #15 17092391
    jprzedworski
    Specjalista Sieci, Internet
    Posty: 5371
    Pomógł: 758
    Ocena: 828
    IC_Current napisał:
    Ten UTM w monitorze sesji identyfikuje komputery po IP, ale już w monitorze urządzeń po MAC
    Jeśli po MAC, to rozumiem.
    Pawel1924 napisał:
    Czyli rozumiem ze role dhcp powinien realizować utm?
    Niech to robi serwer a nie UTM, bo wtedy masz pełniejszą integrację z AD. Wyłącz na UTM, daj serwer z komputerami w jednej sieci LAN i sieć powinna działać. W VLANy zabawisz się później, bo na początek to chyba za dużo. Na serwerze może być uruchomiony firewall Windowsowy, to będzie go trochę chronił.
    Czyli przykładowo UTM adres 192.168.1.1 (DHCP wyłaczone) serwer (jedna karta) 192.168.1.10 DHCP na serwerze przyznaje komputerom: adres 192.168.1.20-100, maskę 255.255.255.0 i bramę 192.167.1.1 Wszystko na tym samym switchu.
    I na początek ma działać.
  • #16 17092611
    IC_Current
    Specjalista Sieci, Internet
    Posty: 9146
    Pomógł: 1499
    Ocena: 2514
    Z dobrych praktyk
    Lepiej użyć innej podsieci niż 192.168.1.0/24 bo: a) w przyszłości będzie VPN i problem, bo w zdalnej lokalizacji ta sama adresacja - przerabiane wielokrotnie nawet tu na elektrodzie, b) każdy domorosły "hakier" zaczyna od "ataku” na 192.168.1.1.

    Czy IIS jest dostępne w sieci publicznej?
    Pomogłem? Kup mi kawę.
  • #17 17092700
    jprzedworski
    Specjalista Sieci, Internet
    Posty: 5371
    Pomógł: 758
    Ocena: 828
    To prawda, dałem tylko przykład. Ze względu na ewentualny VPN dałbym nietypową sieć. U mnie np. brama ma adres gdzież środku puli adresowej a nie .1. Niby żadna przeszkoda dla hakera ale nic nie kosztuje.
  • #18 17093951
    Pawel1924
    Poziom 20  
    Posty: 1137
    Ocena: 128
    Ale ja mam ustawiony VPN i działa bardzo dobrze.

    Rozumiem że finalnie najlepiej zrobić vlany, czyli potrzebuję jeszcze switch który je obsługuję. W niedalekiej przyszłości pewnie tak się stanie.
  • #19 17094023
    IC_Current
    Specjalista Sieci, Internet
    Posty: 9146
    Pomógł: 1499
    Ocena: 2514
    Tak. VLANy i separacja ruchu to podstawy od których zaczyna się zabezpieczanie sieci. Dalej przeszkolenie pracowników (podejrzane wiadomości, hasła, pendrive, itp.). Teraz uprawnienia do plików, reguły zapory na serwerze i stacjach. Gdzieś po drodze antywirus na końcówkach.
    Jak to działa montuje się UTM. Jak jest AD w sieci to polisy koreluje się z bazą.
    Działa VPN w trybie Remote Access (ze splitem) ale nie zadziała Site To Site, czyli łączenie oddziałów firmy jeżeli nastąpi konflikt adresacji.
    Pomogłem? Kup mi kawę.
  • #20 17097505
    Pawel1924
    Poziom 20  
    Posty: 1137
    Ocena: 128
    Antywirusy na końcówkach i serwerze mam. W UTM włączone wszystkie moduły bezpieczeństwa, filtrowanie aplikacji, stron itp. VPN site to site nie potrzebuję.
    Specjalnie zrobiłem tak że UTM jest pierwszy a za nim serwer, przecież to jego zadaniem jest chronić sieć. To że jeszcze nie wszystko mam ustawione jak potrzeba, nie jest tu problemem bo powoli wszystko wdrożę. Np. po to jest forum.
  • Pomocny post
    #21 17097674
    IC_Current
    Specjalista Sieci, Internet
    Posty: 9146
    Pomógł: 1499
    Ocena: 2514
    Pawel1924 napisał:
    VPN site to site nie potrzebuję.

    Teraz oczywiście nie, ale w przyszłości ... Jednym z kryteriów projektowania sieci jest jej skalowalność.

    Pawel1924 napisał:
    ... a za nim serwer, przecież to jego zadaniem jest chronić sieć.

    W żadnym wypadku serwer nie chroni sieci, to właśnie serwery (bazy danych, plików itd) są elementami które chroni się w sposób szczególny.
    Pomogłem? Kup mi kawę.
  • #22 17098567
    Pawel1924
    Poziom 20  
    Posty: 1137
    Ocena: 128
    Cytat:
    Specjalnie zrobiłem tak że UTM jest pierwszy a za nim serwer, przecież to jego zadaniem jest chronić sieć.


    Może nie jasno napisałem, oczywiście chodziło o UTM
  • Pomocny post
    #23 17099246
    jprzedworski
    Specjalista Sieci, Internet
    Posty: 5371
    Pomógł: 758
    Ocena: 828
    Jest sobie taka sieć w instytucji. Kilkanaście lat temu zrobiono standardową adresację. O VPN nikt wtedy nie myślał bo nawet łącze było niewystarczające. Sieć się rozrosła, doszła konieczność pracy zdalnej, a więc VPN. Z różnych miejsc i sieci - zaczął się problem, bo często te zdalne sieci mają taką samą adresację. Routery LTE taką mają. Sieci w hotelach, domach pracowników. A nie tak łatwo zmienić adresy ponad 200 urządzeń w firmie. Lepiej o tym pomyśleć, gdy sieć jest mała.
  • #24 17116879
    Pawel1924
    Poziom 20  
    Posty: 1137
    Ocena: 128
    Macie racje, źle to połączyłem...
    Na początku był serwer (ISP->SERVER(NAT)->komputery
    Później dołożyłem UTM (ISP->UTM(NAT)-SERVER(NAT)->komputery

    Faktycznie bez sensu, no i UTM widzi wszystko jako adres ip servera.

    To co teraz zrobić? Muszę zrobić to tak żeby wszystkie komputery były widoczne w utm jako ich ip.

    Tylko co z działaniem domeny(dhcp, dns)?
  • #25 17117382
    IC_Current
    Specjalista Sieci, Internet
    Posty: 9146
    Pomógł: 1499
    Ocena: 2514
    Pawel1924 napisał:
    Macie racje, źle to połączyłem...
    Na początku był serwer (ISP->SERVER(NAT)->komputery
    Później dołożyłem UTM (ISP->UTM(NAT)-SERVER(NAT)->komputery

    Faktycznie bez sensu, no i UTM widzi wszystko jako adres ip servera.

    To co teraz zrobić? Muszę zrobić to tak żeby wszystkie komputery były widoczne w utm jako ich ip.

    Tylko co z działaniem domeny(dhcp, dns)?


    Najlepiej, zanim jeszcze sieć jest malutka, przebudować według zasad podanych wcześniej, posegmentować VLANami i wdrożyć sensowny schemat adresacji.

    Na szybko i bez wysiłku z przykładową adersacją:
    Założenie- Twoja sieć LAN to 192.168.74.0/24 a domena "contoso.local"

    UTM - interfejs LAN podłączony do switcha - IP 192.168.74.254

    Serwer - obecny interfejs WAN wyłączony w menedżerze urządzeń. Interfejs LAN podłączony do switcha. IP 192.168.74.10, brama xx.254, DNS 127.0.0.1.

    DHCP włączone na serwerze, wyłączone w UTM, Pula 192.168.74.0/24, Brama xx.254, DNS xx.10, domena wyszukiwania "contoso.local" + inne opcje jakich używasz.

    DNS włączone na serwerze, wyłączone w UTM. Sprawdzenie wpisów statycznych, czy hosty są w sieci 192.168.74.0/24

    Teraz sieć powinna działać, a UTM zobaczy adresy IP hostów. Jak zrobisz porządek w sieci, to UTM podłączasz jako klienta LDAP do bazy AD i reguły filtracji nie strugasz scyzorykiem po IP, tylko ładnie spinasz z grupami zabezpieczeń z AD lub jednostkami organizacyjnymi. Klienci RA-VPN też mogą korzystać z loginu/hasła domenowego.
    Pomogłem? Kup mi kawę.
  • #26 17117948
    Pawel1924
    Poziom 20  
    Posty: 1137
    Ocena: 128
    Wszystko ok.
    W serwerze na lanie ustawiam bramę na UTM, dns na samego siebie 127.0.0.1.
    W dhcp na serwerze,brama to utm, dns na samego siebie xx.10.
    Dhcp i dns w utm wyłaczone.

    A co z zewnętrznym adresem dns, przecież powinien być do łączenia na zewnątrz?
  • Pomocny post
    #27 17118025
    jprzedworski
    Specjalista Sieci, Internet
    Posty: 5371
    Pomógł: 758
    Ocena: 828
    Pawel1924 napisał:
    A co z zewnętrznym adresem dns, przecież powinien być do łączenia na zewnątrz?
    Tu jest przykład, jak w lokalnym serwerze DNS dodać zewnętrzne serwery - tu Netia. Tu nasz serwer nazywa się DC1. Prawoklik na DC1 iw wybieramy z menu "Właściwości". Resztę widać na obrazku.

    Fortios 5.6: Jak ograniczyć przepustowość dla http i https?
  • Pomocny post
    #28 17118106
    IC_Current
    Specjalista Sieci, Internet
    Posty: 9146
    Pomógł: 1499
    Ocena: 2514
    Pawel1924 napisał:
    A co z zewnętrznym adresem dns, przecież powinien być do łączenia na zewnątrz?


    Możesz zrobić tak, jak wskazał kolega, choć nie jest to konieczne. Możesz nic nie ustawić. W celu lokalizacji serwerów DNS Windows Serwer korzysta bezpośrednio z wpisów w strefie globalnej ROOT DNS.
    Pomogłem? Kup mi kawę.
  • #29 17118686
    Pawel1924
    Poziom 20  
    Posty: 1137
    Ocena: 128
    Ale przy łączeniu ze światem chciałbym używać serwerów dns od fortigate.
  • #30 17118892
    IC_Current
    Specjalista Sieci, Internet
    Posty: 9146
    Pomógł: 1499
    Ocena: 2514
    Pawel1924 napisał:
    Ale przy łączeniu ze światem chciałbym używać serwerów dns od fortigate.


    Z mojego doświadczenia (i moich testów) najszybsze serwery posredniczace DNS ma Tepsa.
    Używanie DNS proxy na UTM nie ma sensu gdy posiadasz własny serwer:
    1. Musisz zrobić split do przekierowań z domeny lokalnej
    2. Split mocno obciąża taki proxy, każdy pojedynczy musi być analizowany przez UTM, aby odczytać, czy zapytanie nie dotyczy lokalnej domeny.
    3. Gdy korzystasz z DNS na serwerze, UTM sprawdzi tylko jedno zapytanie o dany adres publiczny (wg ustawionej polisy) resztę cacheuje WS.
    4. Możliwości zarządzania DNS na WS są nieporównywalnie większe od tych z UTMa.
    Pomogłem? Kup mi kawę.

Podsumowanie tematu

✨ W dyskusji poruszono temat ograniczania przepustowości dla protokołów HTTP i HTTPS w systemie FortiOS 5.6. Użytkownik zapytał, czy można ograniczyć prędkość internetu tylko dla tych protokołów, a także czy można wykluczyć konkretne aplikacje z tego ograniczenia. Odpowiedzi wskazywały na możliwość konfiguracji polityk kształtowania ruchu w Fortigate, które pozwalają na definiowanie reguł na podstawie źródła, celu, aplikacji i kategorii URL. Użytkownicy podkreślili znaczenie poprawnej architektury sieci, w tym wykorzystania VLAN-ów oraz integracji z Active Directory (AD) dla lepszej kontroli dostępu. Wskazano również na konieczność zainstalowania agenta FSSO dla identyfikacji użytkowników w sieci. Ostatecznie, użytkownik z powodzeniem skonfigurował sieć, ograniczając dostęp do internetu dla wybranych jednostek organizacyjnych.
Podsumowanie AI na podstawie dyskusji. Może zawierać błędy.
REKLAMA