Publicado en

set allow-traffic-redirect enable en FortiGate: Qué es, cómo usarlo y cuándo activarlo

Alberto Lozanopor Alberto LozanoPublicado enFortinet, ,

¿Qué es y para qué sirve?

El comando set allow-traffic-redirect es una directiva de configuración en los firewalls FortiGate de Fortinet que controla si el dispositivo permite que el tráfico entre y salga por la misma interfaz de red sin requerir una política de firewall explícita.

Cuando está en enable, FortiGate permite ese flujo de forma implícita. Cuando está en disable, el tráfico queda bloqueado a menos que exista una política que lo autorice expresamente.

Cambio crítico desde FortiOS 7.4.10

⚠️ Si gestionas equipos con FortiOS 7.4.10, 7.6.5, 8.0.0 o versiones posteriores, este apartado es esencial.

A partir de estas versiones, Fortinet introdujo dos cambios importantes como parte de una mejora de seguridad:

1. El comando se movió a config system global

Ya no se configura por interfaz. Ahora es una opción global que afecta a todo el sistema:

config system global
    set allow-traffic-redirect enable
    set ipv6-allow-traffic-redirect enable
end

2. El valor por defecto cambió de enable a disable

Y lo más importante: al hacer upgrade a cualquiera de esas versiones, la configuración existente se fuerza a disable automáticamente, aunque tuvieras enable antes. Esto puede romper tráfico en producción sin previo aviso.

Sintaxis según versión de FortiOS

Versiones anteriores a 7.4.10 — configuración por interfaz:

config system interface
    edit "wan1"
        set allow-traffic-redirect enable
    next
end

Versiones 7.4.10, 7.6.5, 8.0.0 y posteriores — configuración global:

config system global
    set allow-traffic-redirect enable
end

Para IPv6 (mismas versiones):

config system global
    set ipv6-allow-traffic-redirect enable
end

¿En qué escenarios se necesita?

  • Entornos con enrutamiento asimétrico: cuando el camino de ida y vuelta de un flujo TCP/UDP no es el mismo.
  • Múltiples ISP o balanceo de carga: donde los paquetes pueden entrar y salir por interfaces distintas o por la misma.
  • Entornos cloud (FortiGate-VM): muy común que el tráfico tenga la misma interfaz de entrada y salida, especialmente en Azure, AWS o GCP.
  • SD-WAN con múltiples enlaces WAN: cuando las políticas de enrutamiento inteligente requieren flexibilidad en la redirección de paquetes.
  • Routers secundarios en la LAN: si el FortiGate actúa como router principal y hay otro router en la misma interfaz LAN, el tráfico redirigido quedará bloqueado con disable.

Comportamiento según versión y estado

VersiónUbicación del comandoValor por defectoComportamiento con enableComportamiento con disable
Anterior a 7.4.10config system interfaceenableTráfico mismo-interfaz permitido implícitamenteRequiere política explícita
7.4.10 / 7.6.5 / 8.0.0+config system globaldisableTráfico mismo-interfaz permitido implícitamenteRequiere política explícita

Recomendación de Fortinet tras el upgrade

Fortinet recomienda no reactivar enable de forma genérica, sino crear políticas de firewall específicas que autoricen el tráfico necesario:

config firewall policy
    edit 0
        set srcintf "lan1"
        set dstintf "lan1"
        set srcaddr "subnet-red1"
        set dstaddr "subnet-red2"
        set action accept
        set schedule "always"
        set service "ALL"
    next
end

Este enfoque es más seguro porque limita exactamente qué tráfico puede fluir dentro de la misma interfaz, en lugar de abrir el comportamiento de forma global.

Implicaciones de seguridad

  1. Superficie de ataque: con enable, cualquier tráfico que entre y salga por la misma interfaz fluye sin inspección de políticas. En versiones modernas, disable es el comportamiento más seguro.
  2. Impacto en upgrades: revisa siempre las release notes antes de actualizar. Este cambio ha causado cortes de producción en entornos cloud y redes con routers secundarios.
  3. IPv6: no olvides revisar también ipv6-allow-traffic-redirect, que sigue exactamente el mismo comportamiento.
  4. Anti-replay en políticas: si creas políticas para tráfico mismo-interfaz, puede ser necesario desactivar anti-replay en esa política, ya que los paquetes de respuesta pueden ser tratados como tráfico replicado y descartados silenciosamente.

Conclusión

Lo que en versiones anteriores era una opción por interfaz con enable por defecto, se convirtió a partir de FortiOS 7.4.10 en una configuración global con disable como valor predeterminado. El objetivo es claro: forzar al administrador a definir explícitamente qué tráfico puede redirigirse dentro de la misma interfaz, mejorando así la postura de seguridad del equipo.

Si tras un upgrade observas tráfico bloqueado con policy 0 en los logs, este parámetro es uno de los primeros lugares donde buscar.

Ingeniero Técnico en Telecomunicaciones, especialidad Telemática. Apasionado por las redes, la seguridad informática y la administración de sistemas. Interesado en tecnologías como FortiGate, MikroTik, Proxmox, NAS y entornos Linux. Me gusta diseñar configuraciones eficientes, seguras y con identidad técnica.

Powered by  GDPR Cookie Compliance
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.
WordPress Appliance - Powered by TurnKey Linux