Ho installato sul firewall della nostra azienda (fortigate100d) un port forwarding su uno dei nostri servizi interni.
Poiché non abbiamo un IP pubblico statico, ho usato 0.0.0.0 come un IP esterno in modo che gli utenti remoti possano accedere al servizio interno tramite un servizio DDNS che gestirà le modifiche IP.
La domanda è: rendere 0.0.0.0 come un IP esterno, espone i nostri servizi interni o anche il firewall a potenziali minacce.
In uno scenario predefinito (uno interno, una rete esterna) questo non ti danneggerà! Stai utilizzando PAT, quindi la regola è ancora legata a una porta specifica e non mette in pericolo la tua rete.
Se hai più di una rete esterna collegata, dovresti pensarci di nuovo. In questo caso dovresti decidere se la regola di inoltro debba essere applicata a entrambe o solo a una rete esterna.
Con i dispositivi Fortigate puoi mappare Virtual IPs a un'interfaccia.
Ti suggerisco caldamente di mappare il tuo port forwarding object ( Virtual IP ) all'interfaccia WAN, invece di any che è il valore predefinito.
Ti suggerisco inoltre di specificare in modo esplicito Incoming Interface e Outgoing Interface nei criteri del firewall.
Se mappi correttamente il tuo oggetto sulla buona interfaccia e specifichi le due interfacce nella tua politica, non dovresti avere alcun problema.
Leggi altre domande sui tag ip firewalls threats port-forwarding