38 respostas para “Como Bloquear HTTP e HTTPS com o FortiOS.”

  1. William,

    Preciso de uma grande ajuda!

    São dois pontos, como sou acostumado a instalar os Fortigate em redes com IP publico fixo agora tenho uma grande duvida.

    Estou instalando o FG em uma empresa que não tem IP Publico Fixo, ai vem as duvidas!
    Tem alguma forma de configurar a VPN do FG neste cenário?
    Tem alguma forma de acessar o FG sem ter um IP publico Fixo?

    Desculpe a pergunta, mas o costume do cachimbo deixa a boca torta! heheheheh

    Mais uma vez, Valeu!

      1. Preciso de ajuda com FortiDDNS.
        Tenho um modem ADSL e FG-60D com FortiOS V5.
        O modem conecta na porta WAN1 do FG.
        No modem configurei a LAN na faixa 10.16.0.0/24
        Na porta “WAN1″ do FG eu coloquei um IP em modo manual. Por exemplo, 172.16.0.254.
        Quando eu ativo o FortiDDNS no FG não funciona.
        Ele me informa que eu estou usando um endereçamento interno.

        Quando executo nslookup em uma maquina publica ele me retorna assim

        nslookup
        C: \ Users \ > nslookup vpnparaguacu.fortiddns.com
        Servidor: “nome dns interno”
        Endereço: “ip dns interno”

        Não é resposta de autorização:
        Nome: vpnparaguacu.fortiddns.com
        Endereço: 172.16.0.253

        testa ai o nslookup para vpnparaguacu.fortiddns.com

        Como faço para a WAN1 do FG pegar o ip externo do modem ADSL?
        acredito que o problema seja esse

  2. Preciso de ajuda com FortiDDNS.
    Tenho um modem ADSL e FG-60D com FortiOS V5.
    O modem conecta na porta WAN1 do FG.
    No modem configurei a LAN na faixa 10.16.0.0/24
    Na porta “WAN1” do FG eu coloquei um IP em modo manual. Por exemplo, 172.16.0.254.
    Quando eu ativo o FortiDDNS no FG não funciona.
    Ele me informa que eu estou usando um endereçamento interno.

    Quando executo nslookup em uma maquina publica ele me retorna assim

    nslookup
    C: \ Users \ > nslookup vpnparaguacu.fortiddns.com
    Servidor: “nome dns interno”
    Endereço: “ip dns interno”

    Não é resposta de autorização:
    Nome: vpnparaguacu.fortiddns.com
    Endereço: 172.16.0.253

    testa ai o nslookup para vpnparaguacu.fortiddns.com

    Como faço para a WAN1 do FG pegar o ip externo do modem ADSL?
    acredito que o problema seja esse

  3. Oi William,
    Olha eu outra vez. hehehehhe

    Desculpe o incomodo!

    A VPN já foi resolvida… seguir o seu conselho.

    Agora é sobre HTTPS/SSL Inspection

    Quando eu habilito ” SSL Inspection ” na Regra, todos os sites HTTPS ficam com o certificado inválido, mesmo quando o certificado do site é válido.
    Até ai tudo bem! Porque é só instalar o certificado no navegado.
    Mas eu tenho algumas aplicações de terceiros que usam a porta 443 e quando o “SSL Inspection” é habilitado, as aplicações que são de terceiro e precisam de internet não conseguem se comunicar.
    Estou usando SSL Inspection porque eu preciso bloquear o facebook e youtube (HTTPS) e sem a SSL Inspection não consigo bloquear.

    Tem alguma solução?

    Obs.: Abrir um ticket com a Fortinet, mas a resposta foi desanimadora. Não é possível que não tenha uma solução.

    Fiz algumas “amarras” nas regras, mas mesmo assim não ficou 100% como é usando HTTP.

      1. Eu fiz assim em alguns casos:

        config webfilter profile
        edit default
        config ftgd-wf
        set exempt-ssl – Adicionei as exceções
        end

        E em outros criei a regra na antes.

        valeu

  4. Olá Willian

    Estou com um problema igual ao do Vinicius, onde após habilitar “SSL Inspection” na Regra, para bloqueio do Facebook e Youtube, todos os sites HTTPS ficam com o certificado inválido, mesmo quando o certificado do site é válido.
    Não gostaria de ficar instalando o certificado nas maquinas devido a quantidade de maquinas ser relativamente grande.

    Teria alguma configuração a ser feita para que os certificados sejam reconhecidos como validos?

    Desde já obrigado.

    1. Oi Alex, você tem praticamente 3 opções.
      Usar um certificado valido (comprar um e importar para o firewall)
      Utilizar uma certificadora raiz instalada em seu AD, como as maquinas em domínio confiam em seu AD automaticamente confiarão em seu certificado.
      Por ultimo subir via GPO o certificado do firewall nos browsers dos seus clientes

  5. Olá a todos,

    Alguém já conseguiu bloquear o aplicativo ultrasurf sem bloquear a 443? está sendo complicado fazer isso pois temos uma rede aberta onde não temos gerencia pelos dispositivos apenas pela conexão com a internet. Obrigado.

  6. Boa Tarde, estou desesperado para bloquear facebook via https,
    fortgate 200B v5.0,build0228 (GA Patch 4), coloquei para bloquear rede social, *facebook.com, *.facebook.com, tentei de tudo…
    quando bloqueio https na porta 443, ele bloqueia muitas coisas q não é para bloquear q passa via https..
    alguem tem alguma dica ??
    OBrigado.

  7. Prezado William sou leitor assíduo da sua pagina, gostaria de pedir sua ajuda, acidentalmente fui na interface de rede local do meu fortigate 80c 192.168.1.251/255.255.255.0 e mudei o final da mascara 252 agora não consigo mais acessar o setup do apliance pela url

    1. Fabricio, estranho o fortigate não deveria ter deixado colocar esse IP já que o mesmo é o broadcast dessa rede com mascara 252.
      Mas, se não tem acesso via outra interface, acesse via cabo de console e altere o ip (pode usar o cabo de console de switch caso não tenha do firewall).
      os comandos para alterar são:
      config system interface
      edit internal
      set ip 192.168.1.251/24
      end

      se a interface for a internal mesmo.

  8. Boa tarde,

    É possível efetuar o bloqueio de HTTPS, do Firmware Version v4.0,build0646,121119 (MR3 Patch 11), sendo que no Web Filter, no Profile, a opção Inspector Mode marcado como flow-based?

    Gratp

      1. William;
        Bom Dia!
        Tudo bem ?

        Lendo o seu blog estou com a seguinte dúvida: Possuo um Fortiwifi 60c com Firmware FWF60C-4.00-build672, e preciso bloquear facebook, youtube e outros que rodam via https e somente liberar bancos e outros sites específicos para um grupo de usuários.
        Sendo assim isso é possível com este modelo ?

        Desde já Muito Obrigado

        Att;

        Valério

  9. Willian

    Boa Tarde,

    Tenho um Fortigate 100D e aparentemente está bloqueando a conexão HTTPS/SSL para o site da Caixa Economica. Não estou usando DEEP SCAN e não preciso bloquear SSL, ou seja era para estar passando, mas a conexão da tempo limite e não abre. Obrigado pela ajuda

    1. OI Boa noite Luciana, o bloqueio só ocorre quando entra via https ?
      Já testou criar uma regra sem nenhum filtro (web, antivirus, app control, …) para verificar se o problema não é roteamento da operadora ?

      1. Olá Willian

        Muito Obrigado pela ajuda. Acho que pode ter sido roteamento da operadora, pois hoje o serviço voltou a funcionar. Sem eu ter colocado ou alterado nenhuma regra. Ainda estou me acostumando a usar o Fortigate e tenho bastante dificuldade com relação ao monitoramento dos logs, por exemplo, antes meu firewall era iptables e eu monitorava o momento da conexão para ver algum bloqueio. Hoje a parte de logs do fortigate é meio confusa e não consigo a informação em tempo real. Tem alguma maneira?
        Luciana

  10. Fiz o bloqueio porem alguns sites estao dando a mensagem “a conexão foi interrompida durante o carregamento da página”. apenas no firefox demais
    navegadores funcionam normalmente.

    foi realizado a instaçao do certificado nas estaçoes de tb

    como devo proceder

  11. Willian,

    Desculpa me aproveitar do tópico para lhe fazer uma pergunta fora do contexto, mas realmente preciso de uma ajuda e não consegui encontrar nada a respeito.

    Tenho um Fortiwifi 60c e ele travou e não consigo mais acessa-lo.
    Quando ligo o led do power acende normal, o status fica piscando, o led de leitura do cartão fica ligado, todos os leds da lan também ficam ligados.
    Depois de um tempo piscam os leds da lan e se apagam e acendem o WAN1 e 2 e depois se apagam. Quando eu plugo um cabo na lan, a luz não acende, mas quando plugo na wan1 ou 2 dá link normal.
    Tentei dar um reset, mas não notei diferença.

    Já viu algum cenário desses?

    Desde já agradeço!

  12. Boa Tarde!

    Preciso de uma ajuda!!

    Tenho um Fortinet 200b, eu não consigo fazer download, tenho vários grupos de acesso, e em um grupo exclusivo “corporativo” com IP liberado e mesmo assim não fazer download mas consigo navegar… como se eu não tivesse permissão, mas sou administrador…. ai se eu colocar em outro grupo que não tem acesso aos servidores, tipo um grupo só de acesso para visitante faço download normalmente… o que pode ser ?

    1. Diego, o FortiGate por default não bloqueia downloads até por que toda a navegação é um download, os bloqueios são por extensão ou por tamanho do arquivo, mais nos dois casos deferia ter uma mensagem de bloqueio, a não ser que seja realizado o bloqueio pelo app control.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *