Lorsque vous inter-connecté vos différents sites, au travers du fortigate, et que vous propagez vos routes en OSPF (les connected), vous n’avez pas envie que la route ISP soit propagée au sein de votre réseau interne. Nous allons donc mettre en place de ACL (access list) et les appliquer sur nos paramètres de routage OSPF.
Voici donc la marche à suivre
Création d’une Access list
On se connecte au firewall, puis nous allons créer une access list, contenant deux règles :
config router access-list edit acl_nopublic config rule edit 1 set action deny set prefix X.X.X.X Y.Y.Y.Y set exact-match enable next edit set exact-match disable next end next end
==> edit “acl_nopublic” est le nom de notre access-list
==> Dans la première règle, nous allons filtrer le réseau correspondant à notre X.X.X.X Y.Y.Y.Y
==> set exact-match enable, il faut que le réseau match exactement (attention aux erreurs de subnet)
==> Dans la seconde règle, nous ne filtrons plus rien.
Application de l’Access-List
Nos paramètres sont maintenant OK et prets à être appliqués. Nous allons maintenant bloquer la redistribution de la route connecté, avec l’access-list créée plus haut. En appliquant l’access-list, seulement les autres routes connectées seront redistribuées.
config router ospf config distribute-list edit 1 set access-list acl_nopublic next end
Troubleshooting
Une fois la route deny, il suffit d’aller voir sur un autre Firewall si cette dernière est toujours reçue.
Entrez la commande suivante sur votre fortigate :
get router info ospf database brief
Vous avez maintenant pu désactiver le routage d’une route connected, au travers de l’OSPF.
Si vous avez des remarques, questions, n’hésitez pas ;). N’hésitez pas également à partager cet article