Imprimir

DIAGNOSTICO FIREWALL

Manual de Diagnóstico de Servicio de Internet en Firewalls Fortinet (FortiGate)

Este manual describe los pasos básicos para diagnosticar problemas de conectividad a Internet en un entorno con Firewall FortiGate, abordando la verificación de interfaces, rutas, políticas de seguridad, registros (logs) y pruebas de conectividad (ping, traceroute, DNS, etc.).

1. Verificar la configuración básica del sistema

Comando
get system status
Explicación
  • ¿Para qué sirve? Muestra el estado general del dispositivo FortiGate: versión de firmware, tiempo de actividad (uptime), número de serie, etc.
  • ¿Cuándo usarlo? Al iniciar el diagnóstico para confirmar que el dispositivo está operativo y con la versión esperada de FortiOS.
Resultado esperado
Version: FortiGate-60E v6.4.8 build...
Serial-Number: FG...
Uptime: 10 days, 2 hours

2. Verificar interfaces WAN y LAN

Para confirmar que las interfaces físicas y virtuales están correctamente configuradas.

2.1 Comando para mostrar la configuración de interfaces
show system interface
  • ¿Para qué sirve? Revela la configuración de cada interfaz (IP, máscara, modo, VLAN, etc.).
  • Interpretación: Revisar que la interfaz WAN tenga la configuración IP esperada (IP, GW, DNS) y la interfaz LAN tenga la red interna correcta.
Resultado esperado
config system interface
   edit "wan1"
       set ip 192.168.50.2 255.255.255.252
       set allowaccess ping https ssh
       ...
   next
   edit "lan"
       set ip 192.168.10.1 255.255.255.0
       ...
   next
end

3. Verificar la tabla de rutas

Es fundamental que el firewall cuente con la ruta por defecto (default gateway) para salir a Internet, así como las rutas estáticas (si existen).

3.1 Comando
get router info routing-table all
  • ¿Para qué sirve? Muestra la tabla de enrutamiento completa (estática, dinámica, etc.).
  • Interpretación:
    • Debe existir una ruta 0.0.0.0/0 con la interfaz WAN o GW correcto.
    • Si la ruta por defecto falta o apunta a la interfaz incorrecta, el tráfico no saldrá a Internet.
Resultado esperado
S* 0.0.0.0/0 [10/0] via 192.168.50.1, wan1
C  192.168.10.0/24 is directly connected, lan

4. Comprobar la política de seguridad (Firewall Policy)

Para que el tráfico de la LAN pueda salir a Internet, se requiere al menos una política que permita el flujo desde la interfaz interna hacia la interfaz WAN.

4.1 Comando
show firewall policy
  • ¿Para qué sirve? Muestra la configuración de las políticas de seguridad (origen, destino, servicio, acción, NAT, etc.).
  • Interpretación: Confirmar que exista una regla con:
    • Incoming Interface = LAN
    • Outgoing Interface = WAN
    • Source = IP interna o all
    • Destination = all (o direcciones públicas)
    • Service = ALL (o puertos específicos)
    • Action = ACCEPT
    • NAT = Enabled (si se requiere NAT hacia Internet)
Resultado esperado
config firewall policy
   edit 1
       set name "LAN-to-Internet"
       set srcintf "lan"
       set dstintf "wan1"
       set srcaddr "all"
       set dstaddr "all"
       set service "ALL"
       set schedule "always"
       set nat enable
       set action accept
   next
end

5. Validar resolución DNS

Si el firewall mismo requiere resolver nombres, y/o si provee DNS a los clientes, es vital validar la configuración DNS.

5.1 Ajustar y/o revisar servidores DNS en FortiGate
config system dns
   set primary 8.8.8.8
   set secondary 8.8.4.4
end
  • ¿Para qué sirve? Permite definir los servidores DNS que el FortiGate usará para resolver nombres de dominio.
5.2 Comprobar resolución DNS desde el firewall
execute ping www.google.com
  • ¿Para qué sirve? Hace ping a un dominio y confirma la resolución DNS y la conectividad.
  • Resultado esperado: Respuestas exitosas indicando time=xx ms en el retorno de los paquetes.

6. Verificar conectividad IP con ping/traceroute

Para diagnosticar problemas de red, podemos usar las herramientas integradas:

6.1 Ping
execute ping 8.8.8.8
  • ¿Para qué sirve? Verifica la conectividad a nivel IP con un host en Internet (Google DNS).
  • Resultado esperado: 
        PING 8.8.8.8: 56 data bytes
   64 bytes from 8.8.8.8: icmp_seq=1 ttl=117 time=30 ms
   ...
6.2 Traceroute
execute traceroute 8.8.8.8
  • ¿Para qué sirve? Muestra la ruta que siguen los paquetes hasta el destino, útil para detectar saltos problemáticos o bloqueos.

7. Revisar registros (logs) y diagnósticos

El FortiGate mantiene un sistema de logs en tiempo real y se pueden usar herramientas de depuración avanzada.

7.1 Revisar registros de eventos
execute log display
  • ¿Para qué sirve? Permite visualizar registros (dependiendo de la versión/licencia, se pueden ver logs de tráfico, eventos del sistema, etc.).
7.2 Depuración de tráfico con diagnose
diagnose debug enable
diagnose debug flow filter clear
diagnose debug flow show console enable
diagnose debug flow trace start 50
  • ¿Para qué sirve? Captura en tiempo real información detallada del flujo de paquetes (fuente, destino, interfaz, regla de firewall aplicada, etc.).
  • Interpretación: Muy útil para ver en qué parte del flujo se está deteniendo el tráfico. Permite validar si se está denegando por política, si hay rutas ausentes, etc.

Nota: Usar estos comandos con precaución ya que pueden generar gran cantidad de información. Se recomienda filtrar por dirección IP de origen/destino si el tráfico es alto.

8. Verificar hora y zona horaria (clock)

La hora correcta es fundamental para la correlación de logs y para servicios que dependan de ella (ej. SSL, certificados).

8.1 Comando
get system time
  • ¿Para qué sirve? Muestra la hora y la zona horaria configurada.
Resultado esperado
Current time: Mon Dec 30 12:00:00 2024
Time zone: UTC+0

9. Revisar alarmas y estado del dispositivo

FortiGate mostrará alertas de CPU, memoria o licenciamientos expirados si hay inconvenientes.

9.1 Comando
get system performance status
  • ¿Para qué sirve? Observa el uso de CPU, memoria y sesiones activas en el FortiGate.
  • Interpretación: Valores muy altos pueden indicar problemas de rendimiento o ataques DDoS.
Resultado esperado
CPU states: 15% user 5% system, 80% idle
Memory: 35% used
Average network usage: ...
Session setup rate ...

10. Conclusiones y Pasos Adicionales

Estos pasos cubren la mayoría de los escenarios para validar conectividad a Internet desde un Firewall FortiGate. En caso de persistir problemas, se recomienda:

  • Revisar la configuración de NAT en la política de salida a Internet.
  • Corroborar los logs de UTM (si se usan funciones de Antivirus, Web Filtering, etc.).
  • Verificar la licencia del dispositivo y la tabla de rutas (posibles conflictos con BGP/OSPF si aplica).
  • Analizar si existe algún objeto Address mal configurado en la política de firewall.

Con esta guía se puede llevar a cabo un **diagnóstico inicial** y un **soporte básico** para restablecer o confirmar la conectividad a Internet en un entorno que use Firewalls Fortinet.