Fortinet : Deny des connected routes au travers de l’OSPF

Lorsque vous inter-connecté vos différents sites, au travers du fortigate, et que vous propagez vos routes en OSPF (les connected), vous n’avez pas envie que la route ISP soit propagée au sein de votre réseau interne. Nous allons donc mettre en place de ACL (access list) et les appliquer sur nos paramètres de routage OSPF.

Voici donc la marche à suivre

Création d’une Access list

On se connecte au firewall, puis nous allons créer une access list, contenant deux règles :

config router access-list
  edit acl_nopublic
   config rule
    edit 1
     set action deny
     set prefix X.X.X.X Y.Y.Y.Y
     set exact-match enable
    next
    edit
     set exact-match disable
    next
   end
  next
end

==> edit “acl_nopublic” est le nom de notre access-list
==> Dans la première règle, nous allons filtrer le réseau correspondant à notre X.X.X.X Y.Y.Y.Y
==> set exact-match enable, il faut que le réseau match exactement (attention aux erreurs de subnet)
==> Dans la seconde règle, nous ne filtrons plus rien.

Application de l’Access-List

Nos paramètres sont maintenant OK et prets à être appliqués. Nous allons maintenant bloquer la redistribution de la route connecté, avec l’access-list créée plus haut. En appliquant l’access-list, seulement les autres routes connectées seront redistribuées.

config router ospf
        config distribute-list
            edit 1
                set access-list acl_nopublic
            next
        end

Troubleshooting

Une fois la route deny, il suffit d’aller voir sur un autre Firewall si cette dernière est toujours reçue.
Entrez la commande suivante sur votre fortigate :

get router info ospf database brief

Vous avez maintenant pu désactiver le routage d’une route connected, au travers de l’OSPF.

Si vous avez des remarques, questions, n’hésitez pas ;). N’hésitez pas également à partager cet article