[:fr]Par défaut, Fortigate ne répond pas aux paquets bloqués par une règle ‘deny’, à une exception près: le port TCP/113, service ident.
En scannant un firewall fortigate, on peut s’apercevoir que le scanning du port TCP/113 entraîne une réponse de type state ‘closed‘, ce qui signifie qu’un TCP-RST a été envoyé.
Tout porte à croire que le port est ouvert dans le firewall et qu’un serveur distant répond.
Après une recherche dans la documentation de Fortigate, on s’aperçoit qu’une option est activée par défaut pour répondre avec un TCP-RST aux requêtes sur le port TCP/113.
Pour désactiver cette fonctionnalité qui nous semble peu utile de nos jours, voici la commande à exécuter:
config system interface edit <interface> set ident-accept enable next end
Remplacer <interface> par l’interface en question, par exemple wan1.
On refait le test:
Cette fois-ci le résultat est différent et TCP/113 n’apparait plus en ‘closed‘.[:]
Intéressant merci