Configuración VIP en Fortinet para NAT Estático y Port Forwarding TCP 80

Configuración VIP en Fortinet para NAT Estático y Port Forwarding TCP 80

Contexto y objetivo de la configuración

En entornos Fortinet, la creación de direcciones IP virtuales (Virtual IPs o VIPs) es fundamental para habilitar mecanismos de traducción de direcciones de red (NAT), permitiendo la exposición controlada de servicios internos a redes externas, frecuentemente Internet. La configuración analizada está orientada a mapear una IP pública estática hacia una IP privada específica, facilitando así el acceso a un servicio web alojado internamente mediante port forwarding sobre el puerto TCP 80.

Arquitectura y flujo de tráfico

El flujo de tráfico inicia desde una solicitud externa dirigida a la IP pública (191.98.231.27) en el puerto 80. Gracias a la configuración de VIP, el firewall intercepta estas solicitudes en la interfaz WAN y las traduce mediante NAT estático hacia la IP privada interna (192.168.1.28) en el mismo puerto TCP 80. Este proceso asegura que el servicio web interno se haga accesible sin exponer toda la red local, mejorando el control y seguridad de la infraestructura.

Campos principales y parámetros críticos

  • VIP Type: IPv4, indica que la dirección virtual está basada en IPv4.
  • Name: Identificador amigable para la VIP, aquí «webApps», esencial para administración y mantenimiento.
  • Interface: La interfaz a través de la cual se procesan las conexiones hacia la IP externa, normalmente la interfaz WAN.
  • Type: Static NAT, asegura mapeo directo uno a uno entre IP externa e interna.
  • External IP Address/Range: IP pública asignada al firewall para exposición del servicio.
  • Mapped IP Address/Range: IP interna a la que se redirige el tráfico entrante.
  • Port Forwarding: Permite redirigir tráfico de un puerto externo específico (80) hacia un puerto interno (80), habilitando servicios específicos.
  • Protocol: TCP en este caso, dado que HTTP utiliza TCP.

Compatibilidad de versiones y modelos

La funcionalidad de VIP con NAT estático y port forwarding es compatible con todos los modelos FortiGate que soportan FortiOS 5.6 en adelante. Sin embargo, ciertas opciones avanzadas dentro del módulo VIP pueden variar según la versión de firmware. Es recomendable utilizar FortiOS 6.x o superior para obtener mejor estabilidad y características extendidas en la gestión de objetos y políticas.

Escenarios de uso recomendados

  • Publicación segura de servidores web internos para acceso externo.
  • Acceso remoto a aplicaciones específicas sin exponer múltiples servicios o rangos IP completos.
  • Implementaciones en DMZ donde se requiera segmentación estricta y control granular de tráfico.
  • Ambientes en los cuales se mantenga un número limitado de IPs públicas y se necesiten asignar múltiples servicios internos a ellas.

Riesgos, errores frecuentes y cómo evitarlos

  • Conflictos de IP: Configurar una VIP con una IP externa ya usada o en conflicto puede provocar inaccesibilidad o bloqueos en el firewall.
  • Configuración errónea del puerto: Mapear puertos incorrectos o no coincidentes con el servicio interno genera fallos de conectividad.
  • Falta de políticas Firewall: Olvidar crear reglas en Firewall Policy para permitir tráfico desde WAN hacia la VIP bloquea el acceso.
  • Negligencia en protocolos: Seleccionar protocolos incorrectos (por ejemplo UDP cuando se requiere TCP) puede causar que el servicio sea inaccesible.
  • No habilitar el logging: Dificulta el diagnóstico de problemas relacionados con tráfico bloqueado o no traducido.

Comandos de CLI útiles para diagnóstico

A continuación, se muestra un ejemplo de configuración de un VIP tipo Static NAT con port forwarding, seguido de comandos esenciales para verificar su estado y flujo de tráfico.

config firewall vip
    edit "webApps"
        set type static-nat
        set extip 191.98.231.27
        set mappedip 192.168.1.28
        set extintf "wan1"
        set portforward enable
        set protocol tcp
        set extport 80
        set mappedport 80
    next
end

get firewall vip | grep webApps
 diagnose firewall vip list
 diagnose sys session list | grep 192.168.1.28
 diagnose debug enable
 diagnose debug application nat 255

El comando get firewall vip muestra las VIP configuradas confirmando parámetros activos. Con diagnose firewall vip list se obtiene un detalle ampliado de las VIPs, protocolos y puertos asociados. El comando diagnose sys session list permite observar sesiones activas y verificar que las traducciones estén ocurriendo correctamente para la IP interna. Finalmente, la activación del debug para NAT muestra en tiempo real el procesamiento del tráfico, particularmente útil para descubrir problemas en la asignación de direcciones o políticas.

Buenas prácticas y checklist final

  • Asignar nombres claros y consistentes a las VIPs para fácil identificación.
  • Verificar que la IP externa asignada a la VIP no entre en conflicto con otras configuraciones o servicios.
  • Definir explícitamente la interfaz de entrada para la VIP para evitar ambigüedades en el procesamiento.
  • Utilizar port forwarding solo cuando sea necesario para reducir la superficie expuesta.
  • Crear reglas de firewall específicas que permitan el tráfico hacia la VIP, restringiendo solo al puerto y protocolo requeridos.
  • Habilitar logs y monitoreo para detectar accesos y posibles ataques a la publicación del servicio.
  • Testear la conectividad desde redes externas para validar la correcta traducción y acceso.
  • Actualizar regularmente FortiOS para beneficiarse de mejoras en seguridad y funcionalidades.