FortiGate – przekierowanie stron www, Web Filter, DNS Filter, Virtual Server, HTTPS

Pytanie

jak zrobić przekierowanie stron www na fortigate

Odpowiedź Sztucznej Inteligencji

Bezpośrednia odpowiedź na pytanie

• “Przekierowanie stron www na FortiGate” można zrealizować różnymi mechanizmami, w zależności od scenariusza:
  • Ruch wychodzący użytkowników LAN: brak natywnego 301/302 w Web Filter; użyj strony zastępczej (Replacement Message) z meta-refresh/JS, ewentualnie Explicit Web Proxy z akcją Redirect, albo DNS Filter z “Redirect to portal IP”. Wymagane/decydujące: inspekcja SSL i zaufany CA dla HTTPS. (docs.fortinet.com)
  • Ruch przychodzący (publikacja serwisu): użyj VIP/Virtual Server; dla wymuszenia https–> włącz “http-redirect” na wirtualnym serwerze SLB. (docs.fortinet.com)
• Kluczowe punkty:
  • HTTPS: aby “wstrzyknąć” przekierowanie/komunikat, FortiGate musi odszyfrować ruch i podpisać stronę własnym CA; klienci muszą ufać temu CA (inaczej ostrzeżenia w przeglądarce). (docs.fortinet.com)
  • Jeśli chcesz prawdziwy 301/302 dla złożonych reguł URL, rozważ FortiProxy/FortiWeb (WAF) lub własny serwer WWW do przekierowań. (help.fortinet.com)

Szczegółowa analiza problemu

• Rozwinięcie głównych aspektów:

  • Na wyjściu (użytkownik → Internet) FortiGate działa jako zapora/UTM. Web Filter standardowo nie wystawia 301/302; może jednak podmienić treść i wyświetlić stronę zastępczą. Dla HTTPS oznacza to ingerencję w sesję TLS (MITM), a więc konieczność zaufanego CA i włączonej inspekcji SSL na polityce. Alternatywnie, w trybie Explicit Web Proxy dostępna jest akcja Redirect z podaniem docelowego URL. (docs.fortinet.com)
  • Na wejściu (Internet → serwer w LAN) korzystasz z VIP/Virtual Server. Dla wymuszenia HTTPS, w Virtual Server (server-load-balance) włączasz “http-redirect”, który odsyła klienta kodem HTTP do wersji 443. (docs.fortinet.com)

• Teoretyczne podstawy:

  • HTTP 301/302 to odpowiedź serwera aplikacyjnego. FortiGate jako UTM może:
    • “zastąpić” odpowiedź stroną blokady (replacement message) – to nie jest 301/302, ale renderowany HTML/JS/metatag z przekierowaniem po stronie przeglądarki. (docs.fortinet.com)
    • w trybie Explicit Web Proxy wykonać “policy-level redirect” (akcja Redirect). (help.fortinet.com)
    • w DNS Filter odesłać zapytanie do “portal IP”, po czym serwer pod tym IP wykona właściwy 301/302. (docs.fortinet.com)
  • HTTPS i HSTS: strony z HSTS mogą odrzucić treści zastępcze/ramki, a bez zaufanego CA przeglądarka pokaże ostrzeżenie o certyfikacie. (docs.fortinet.com)

• Praktyczne zastosowania (3 najczęstsze zadania)

  1. Wychodzące: “przekieruj użytkownika z domen X/Y na stronę komunikatu”

     • Metoda A – Replacement Message (Web Filter):
       • Utwórz grupę replacement messages i w treści dodaj meta-refresh/JS do docelowego URL, np.:

         <!DOCTYPE html>
         <html>
         <head>
           <meta http-equiv="refresh" content="0;url=https://intranet.firma.pl/info" />
           <title>Dostęp zablokowany</title>
         </head><body></body></html>

       • Przypisz tę stronę do kategorii/URL blokowanych w profilu Web Filter.
       • W polityce do Internetu włącz profil Web Filter oraz SSL/SSH Inspection (deep/certificate inspection) i zapewnij, że CA użyty w profilu jest zaufany przez klientów. (community.fortinet.com)
       • Uwaga: to przekierowanie jest “po stronie przeglądarki”, nie prawdziwy 301/302.
     • Metoda B – Explicit Web Proxy (jeśli używasz proxy):
       • W regule proxy ustaw Action=Redirect i wskaż Redirect URL; możesz precyzyjnie sterować kto/co jest przekierowane. (help.fortinet.com)
     • Metoda C – DNS Filter + własny portal:
       • W DNS Filter ustaw “Redirect Portal IP” dla domen, które chcesz przekierować. Na wskazanym IP hostujesz prosty web/NGINX, który wystawia 301/302 do docelowego URL. Działa bez TLS MITM, ale dotyczy całej domeny i nie obsłuży ścieżek URL. (docs.fortinet.com)

  2. Wychodzące: “po logowaniu przekieruj na konkretną stronę”

     • Captive portal na interfejsie LAN/WiFi pozwala ustawić redirect “Original request” lub “Specific URL”. (docs.fortinet.com)

  3. Wchodzące: “wymuś HTTPS przy publikacji serwisu”

     • Użyj Virtual Server (server-load-balance) dla 80/443 i włącz “set http-redirect enable” dla VS na porcie 80. To odsyła klienta kodem HTTP do 443 przed przekazaniem ruchu do backendów. Uwaga na ACME/Let’s Encrypt – stałe przekierowanie portu 80 może przerwać odnowienia. (docs.fortinet.com)

Aktualne informacje i trendy

• FortiOS 7.4/7.6:
  • Web Filter wspiera personalizację Replacement Messages i wymaga SSL inspection + zaufanego CA dla HTTPS (zmieniono i doprecyzowano w nowszych przewodnikach). (docs.fortinet.com)
  • DNS Filter nadal umożliwia “Redirect to Portal IP”. (docs.fortinet.com)
  • W Explicit Proxy w GUI/FGFM dostępna jest akcja Redirect w polityce. (help.fortinet.com)
  • Dla publikacji: “HTTP to HTTPS redirect for load balancing” wciąż konfiguruje się w CLI. (docs.fortinet.com)

Wspierające wyjaśnienia i detale

• Minimalne przykłady CLI
  • Web Filter: wyłączenie replacement message dla HTTPS (gdy BYOD nie ufa CA):

    config webfilter profile
      edit "WF-BYOD"
        set https-replacemsg disable
      next
    end

    Efekt: dla HTTPS sesja będzie rozłączona bez strony zastępczej (brak ostrzeżeń cert.). (docs.fortinet.com)

  • Explicit Web Proxy – akcja Redirect w polityce (skonfiguruj proxy wcześniej):
    • W GUI wybierz Action=Redirect i podaj Redirect URL. (help.fortinet.com)
  • DNS Filter – redirect portal IP:

    config dnsfilter profile
      edit "DNS-REDIR"
        config domain-filter
          edit 1
            set domain "example.com"
            set action redirect
            set redirect-portal "192.0.2.10"
          next
        end
      next
    end

    (docs.fortinet.com)

  • Virtual Server – wymuszenie HTTPS:

    config firewall vip
      edit "vs-http"
        set type server-load-balance
        set extip 203.0.113.10
        set extintf "wan1"
        set server-type http
        set extport 80
        set http-redirect enable
        config realservers
          edit 1
            set ip 10.0.0.10
            set port 80
          next
        end
      next
    end

    (docs.fortinet.com)

  • Replacement Message z przekierowaniem:
    • W treści HTML użyj meta-refresh/JS (patrz przykład wyżej). (community.fortinet.com)

Aspekty etyczne i prawne

• Inspekcja SSL to przetwarzanie treści komunikacji. Zadbaj o:
  • podstawę prawną, informację dla użytkowników, politykę prywatności i logowania,
  • dystrybucję zaufanego CA wyłącznie na urządzeniach, którymi zarządzasz,
  • wyłączenia dla aplikacji z certificate pinning (bankowość, chmury). (docs.fortinet.com)

Praktyczne wskazówki

• Testy i diagnostyka:
  • Sprawdź, czy ruch trafia w właściwą policy i profil: Log & Report → Forward Traffic.
  • Dla DNS Filter: wyczyść cache DNS na kliencie.
  • Dla HTTPS: potwierdź, że przeglądarki ufają CA z profilu SSL/SSH Inspection.
• Typowe pułapki:
  • HSTS może uniemożliwić “miękkie” przekierowania HTML.
  • DNS-over-HTTPS ominie DNS Filter (rozważ blokowanie DoH/DoT).
  • Wymuszenie http→https na VS blokuje ACME po porcie 80 (certyfikaty Let’s Encrypt). (reddit.com)

Ewentualne zastrzeżenia lub uwagi dodatkowe

• FortiGate nie ma natywnego 301/302 dla ruchu wychodzącego w zwykłej polityce firewall; otrzymujesz Replacement Message albo Redirect w Explicit Proxy. Dla zaawansowanej logiki URL rozważ FortiWeb/FortiProxy lub serwer www/proxy (nginx/haproxy). (help.fortinet.com)
• Aplikacje z pinningiem certyfikatów mogą wymagać wyjątków od inspekcji SSL. (docs.fortinet.com)

Sugestie dalszych badań

• FortiGate Admin Guide: Web Filter i Replacement Messages; SSL/SSH Inspection – sekcje o własnym CA i https-replacemsg. (docs.fortinet.com)
• DNS Filter – “Redirect Portal IP” i przykłady użycia. (docs.fortinet.com)
• Explicit Web Proxy – polityka z akcją Redirect. (help.fortinet.com)
• Virtual Server – “HTTP to HTTPS redirect for load balancing”. (docs.fortinet.com)
• Artykuł Fortinet Community: Replacement message z redirectem (gotowy HTML). (community.fortinet.com)

Krótkie podsumowanie

• Wybór metody zależy od kierunku ruchu i wymagań:
  • Wyjście (użytkownik → Internet): Replacement Message + SSL inspection (lub Explicit Proxy Redirect), ewentualnie DNS Filter + własny portal.
  • Wejście (Internet → serwer): VIP/Virtual Server, opcjonalnie “http-redirect”.
• Kluczem dla HTTPS jest zaufany CA na kliencie oraz poprawnie dobrany tryb inspekcji. Dla złożonych przekierowań URL rozważ dedykowany WAF/proxy.

Jeśli podasz swój scenariusz (wychodzący/wejściowy, HTTPS/HTTP, czy masz Explicit Proxy, czy możesz wdrożyć CA na stacjach), przygotuję konkretną, gotową do wdrożenia konfigurację.