🖥️Configuración por GUI
Toda la configuración debe hacerse desde la interfaz gráfica.
- No usar CLI salvo para verificación.
- Todo cambio (interfaces, políticas, DNS, DHCP) vía FortiGate GUI.
- Documentar con capturas de cada paso.
🌐Acceso a Internet
Salida a Internet para ambas LAN.
- Interfaz WAN conectada al router/ISP simulado.
- Política de firewall LAN → WAN habilitada.
- Verificar con ping/DNS desde clientes.
👥LAN de Usuarios (/25)
Segmento para estaciones de trabajo.
- Máscara /25 → 126 hosts útiles.
- Ejemplo: 192.168.10.0/25.
- Asignar interfaz dedicada en FortiGate (ej. port3).
🗄️LAN de Servidores (/28)
Segmento para los servidores internos.
- Máscara /28 → 14 hosts útiles.
- Ejemplo: 192.168.20.0/28.
- Interfaz independiente (ej. port4), separada de usuarios.
🔢IP en Interfaces
Direccionamiento correcto en cada interfaz.
- WAN: IP pública/simulada + gateway del ISP.
- LAN Usuarios: primera IP del rango /25 como gateway.
- LAN Servidores: primera IP del rango /28 como gateway.
📡DHCP en LAN Usuarios
Asignación automática de IP a clientes.
- Habilitar servidor DHCP en la interfaz de usuarios.
- Definir rango dentro del /25, excluyendo el gateway.
- Configurar DNS y default gateway entregados por DHCP.
🧭Ruta por Defecto
Salida hacia Internet vía WAN.
- Network → Static Routes → 0.0.0.0/0.
- Gateway = IP del router ISP.
- Interfaz de salida = WAN.
🔁NAT
Traducción de direcciones para salida a Internet.
- Habilitar NAT en política LAN → WAN.
- Usar la IP de la interfaz WAN (overload/PAT).
- Verificar traducción con sesiones activas.
🔓Solo HTTP Usuarios → Servidores
Restringir tráfico entre LANs internas.
- Política Usuarios → Servidores con servicio HTTP únicamente.
- Acción: Accept, solo puerto 80.
- Política final "deny all" para bloquear el resto del tráfico.
🚫Bloquear Redes Sociales
Filtrado por categoría web.
- Security Profiles → Web Filter.
- Bloquear categoría "Social Networking".
- Aplicar el perfil a la política LAN Usuarios → WAN.
📵Bloquear Llamadas de WhatsApp
Control de aplicaciones (App Control).
- Security Profiles → Application Control.
- Ubicar "WhatsApp.Voice" o "WhatsApp.Call" y bloquear.
- Dejar mensajería de texto permitida si se requiere, solo bloquear voz/video.
🏫Bloquear itla.edu.do
Bloqueo de dominio y subdominios.
- Web Filter → Static URL Filter.
- Agregar patrón tipo Wildcard: *.itla.edu.do
- Acción: Block. Aplicar en política de salida.
🛡️IPS + WAF
Detección de escaneos y protección al servidor web.
- IPS: habilitar firmas de "scan" (ej. Nmap, port scan detection).
- Aplicar perfil IPS en política LAN Usuarios → Servidores.
- WAF: Security Profiles → Web Application Firewall, aplicado en política de entrada al servidor Web.