Achtung: neues Default-Verhalten bei Fortigate Konfigurationen mit One-Arm Interface – z.B. mit der ACI Fabric

Author: sy Category: Fortinet

Einleitung

One-Arm-Installation bedürfen einem speziellen Augenmerk, insbesondere wenn es um den Redirect vom Traffic geht – also Traffic, der über das gleiche logische Interface rausgeschickt wird, wo er auch reingekommen ist.

Auf der Fortigate wird der Redirect Traffic per default erlaubt, so dass der Traffic ohne weitere Prüfung durch die Firewall Policy zugelassen wird. Dieses Verhalten kann mit folgendem Befehl beeinflusst werden:

config system global
    set allow-traffic-redirect enable*|disable 
end

Wird das “allow-traffic-redirect” auf “disable” gesetzt, läuft der Traffic dennoch weiter – nun aber komplett über die Firewall und mit Prüfung durch die Firewall Policy. Dieses gilt, wenn die Source IP der Session aus dem gleichen Netzwerk kommt, wie das One-Arm Interface der Fortigate.

Neues Default Verhalten bei One-Arm-Installationen mit Transfer-Netzen

Eine andere Situation haben wir, wenn die Source IP der Session aus einem anderen Netztwerk kommt als das One-Arm Interface. Nehmen wir als Beispiel eine ACI Fabric Installation. Traffic wird hier von einer Endpoint Group (EPG) zum anderen über ein Transfer-Netzwerk geschickt. Das Transfer Netzwerk hängt one-arm an der Fortigate.

In dieser Situation hat die Fortigate bis anhin den Redirect vom Traffic zugelassen, aber dennoch wurde der Traffic von der Firewall Policy geprüft – unabhängig davon, ob das “allow-traffic-redirect” auf “allow” oder “disable” gesetzt war.

Genau dieses Verhalten ändert die Fortinet ab den FortiOS Versionen 7.0.17, 7.2.12 und 7.4.5: ist das “allow-traffic-redirect” auf “enable” konfiguriert (was die Default-Einstellung ist), wird der gesamte Traffic nun nicht mehr anhand der Firewall Policy geprüft, sondern ohne weiteren Check durchgelassen!

Damit der Traffic dennoch durch die Firewall Regeln reglementiert werden kann, muss neu das “allow-traffic-redirect” auf “disable” gesetzt werden.

Weitere Informationen sind hier zu finden: Technical Tip: Traffic handled by FortiGate for packet which ingress and egress same interface

Loading

2 thoughts on “Achtung: neues Default-Verhalten bei Fortigate Konfigurationen mit One-Arm Interface – z.B. mit der ACI Fabric

  1. Simon M Reply

    Hallo

    Mit 7.4.10 und 7.6.5 haben sie nun die Default-Einstellung angepasst, sie ist damit sowohl für IPv4 als auch IPv6 deaktiviert.

    Gruss

    • sy Post authorReply

      Hi Simon,

      ja – richtig. Der verlinkte Technical Tip ist entsprechend angepasst worden: “As of FortiOS v7.4.10, v7.6.5, v8.0.0, and later, the default setting for allow-traffic-redirect (and the IPv6-equivalent ipv6-allow-traffic-redirect) is set to disable (in earlier FortiOS versions, the default setting for this was enable). Furthermore, upgrading to FortiOS v7.4.10, v7.6.5, v8.0.0 or later versions will modify existing configurations and set these CLI options to disable if they were not already set.”

      Also Achtung, die Einstellung wird beim Firmware Update entsprechend angepasst.

Leave a Reply to Simon M Cancel reply

Your email address will not be published. Required fields are marked *