Nuestro grupo de expertos despúes de muchos días de trabajo y recopilación de de información, hemos dado con la solución, nuestro deseo es que resulte útil para ti para tu trabajo.
Nota
Este complemento es parte del colección fortinet.fortios (versión 1.1.8).
Para instalarlo use: ansible-galaxy collection install fortinet.fortios
.
Para usarlo en un libro de jugadas, especifique: fortinet.fortios.fortios_firewall_ssl_ssh_profile
.
Nuevo en la versión 2.8: de fortinet.fortios
- Sinopsis
- Requisitos
- Parámetros
- Notas
- Ejemplos de
- Valores devueltos
Sinopsis
- Este módulo puede configurar un dispositivo FortiGate o FortiOS (FOS) permitiendo al usuario configurar y modificar la función de firewall y la categoría ssl_ssh_profile. Los ejemplos incluyen todos los parámetros y valores que deben ajustarse a las fuentes de datos antes de su uso. Probado con FOS v6.0.0
Requisitos
Los siguientes requisitos son necesarios en el host que ejecuta este módulo.
- ansible> = 2.9.0
Parámetros
Parámetro | Opciones / Valores predeterminados | Comentarios | ||
---|---|---|---|---|
access_tokencuerda | Autenticación basada en token. Generado a partir de la GUI de Fortigate. | |||
firewall_ssl_ssh_profilediccionario | Configure las opciones del protocolo SSL / SSH. | |||
canamecuerda | Certificado de CA utilizado por la inspección SSL. Fuente vpn.certificate.local.name. | |||
comentariocuerda | Comentarios opcionales. | |||
ftpsdiccionario | Configure las opciones de FTPS. | |||
allow_invalid_server_certcuerda |
|
Cuando está habilitado, permite sesiones SSL cuya validación de certificado de servidor falló. | ||
client_cert_requestcuerda |
|
Acción basada en el error de solicitud de certificado del cliente. | ||
puertosentero | Puertos que se utilizarán para escanear (1 – 65535). | |||
estadocuerda |
|
Configure el estado de inspección del protocolo. | ||
unsupported_sslcuerda |
|
La acción basada en el cifrado SSL utilizado no es compatible. | ||
untrusted_certcuerda |
|
Permita, ignore o bloquee el certificado del servidor de sesión SSL que no es de confianza. | ||
httpsdiccionario | Configure las opciones de HTTPS. | |||
allow_invalid_server_certcuerda |
|
Cuando está habilitado, permite sesiones SSL cuya validación de certificado de servidor falló. | ||
client_cert_requestcuerda |
|
Acción basada en el error de solicitud de certificado del cliente. | ||
puertosentero | Puertos que se utilizarán para escanear (1 – 65535). | |||
estadocuerda |
|
Configure el estado de inspección del protocolo. | ||
unsupported_sslcuerda |
|
No se admite la acción basada en el cifrado SSL utilizado. | ||
untrusted_certcuerda |
|
Permita, ignore o bloquee el certificado del servidor de sesión SSL que no es de confianza. | ||
imapsdiccionario | Configure las opciones de IMAPS. | |||
allow_invalid_server_certcuerda |
|
Cuando está habilitado, permite sesiones SSL cuya validación de certificado de servidor falló. | ||
client_cert_requestcuerda |
|
Acción basada en el error de solicitud de certificado del cliente. | ||
puertosentero | Puertos que se utilizarán para escanear (1 – 65535). | |||
estadocuerda |
|
Configure el estado de inspección del protocolo. | ||
unsupported_sslcuerda |
|
La acción basada en el cifrado SSL utilizado no es compatible. | ||
untrusted_certcuerda |
|
Permita, ignore o bloquee el certificado del servidor de sesión SSL que no es de confianza. | ||
mapi_over_httpscuerda |
|
Activar / desactivar la inspección de MAPI sobre HTTPS. | ||
nombrecuerda / requerido | Nombre. | |||
pop3sdiccionario | Configure las opciones de POP3S. | |||
allow_invalid_server_certcuerda |
|
Cuando está habilitado, permite sesiones SSL cuya validación de certificado de servidor falló. | ||
client_cert_requestcuerda |
|
Acción basada en el error de solicitud de certificado del cliente. | ||
puertosentero | Puertos que se utilizarán para escanear (1 – 65535). | |||
estadocuerda |
|
Configure el estado de inspección del protocolo. | ||
unsupported_sslcuerda |
|
No se admite la acción basada en el cifrado SSL utilizado. | ||
untrusted_certcuerda |
|
Permita, ignore o bloquee el certificado del servidor de sesión SSL que no es de confianza. | ||
rpc_over_httpscuerda |
|
Habilita / deshabilita la inspección de RPC sobre HTTPS. | ||
server_certcuerda | Certificado utilizado por la inspección SSL para reemplazar el certificado del servidor. Fuente vpn.certificate.local.name. | |||
server_cert_modecuerda |
|
Vuelva a firmar o reemplace el certificado del servidor. | ||
smtpsdiccionario | Configure las opciones de SMTPS. | |||
allow_invalid_server_certcuerda |
|
Cuando está habilitado, permite sesiones SSL cuya validación de certificado de servidor falló. | ||
client_cert_requestcuerda |
|
Acción basada en el error de solicitud de certificado del cliente. | ||
puertosentero | Puertos que se utilizarán para escanear (1 – 65535). | |||
estadocuerda |
|
Configure el estado de inspección del protocolo. | ||
unsupported_sslcuerda |
|
La acción basada en el cifrado SSL utilizado no es compatible. | ||
untrusted_certcuerda |
|
Permita, ignore o bloquee el certificado del servidor de sesión SSL que no es de confianza. | ||
sshdiccionario | Configure las opciones de SSH. | |||
inspeccionar_todoscuerda |
|
Nivel de inspección SSL. | ||
puertosentero | Puertos que se utilizarán para escanear (1 – 65535). | |||
ssh_algorithmcuerda |
|
Fuerza relativa de los algoritmos de cifrado aceptados durante la negociación. | ||
ssh_policy_checkcuerda |
|
Habilitar / deshabilitar la verificación de la política SSH. | ||
ssh_tun_policy_checkcuerda |
|
Habilite / deshabilite la verificación de la política del túnel SSH. | ||
estadocuerda |
|
Configure el estado de inspección del protocolo. | ||
unsupported_versioncuerda |
|
Acción basada en que la versión SSH no es compatible. | ||
ssldiccionario | Configure las opciones de SSL. | |||
allow_invalid_server_certcuerda |
|
Cuando está habilitado, permite sesiones SSL cuya validación de certificado de servidor falló. | ||
client_cert_requestcuerda |
|
Acción basada en el error de solicitud de certificado del cliente. | ||
inspeccionar_todoscuerda |
|
Nivel de inspección SSL. | ||
unsupported_sslcuerda |
|
No se admite la acción basada en el cifrado SSL utilizado. | ||
untrusted_certcuerda |
|
Permita, ignore o bloquee el certificado del servidor de sesión SSL que no es de confianza. | ||
ssl_anomalies_logcuerda |
|
Habilitar / deshabilitar el registro de anomalías de SSL. | ||
ssl_exemptlista / elementos = cadena | Servidores a eximir de la inspección SSL. | |||
Direccióncuerda | Objeto de dirección IPv4. Fuente firewall.address.name firewall.addrgrp.name. | |||
dirección6cuerda | Objeto de dirección IPv6. Fuente firewall.address6.name firewall.addrgrp6.name. | |||
fortiguard_categoryentero | ID de categoría de FortiGuard. | |||
identificaciónentero / requerido | Número de identificación. | |||
regexcuerda | Servidores exentos por expresión regular. | |||
escribecuerda |
|
Tipo de objeto de dirección (IPv4 o IPv6) o categoría FortiGuard. | ||
wildcard_fqdncuerda | Servidores exentos mediante comodín FQDN. Fuente firewall.wildcard-fqdn.custom.name firewall.wildcard-fqdn.group.name. | |||
ssl_exemptions_logcuerda |
|
Habilitar / deshabilitar el registro de exenciones de SSL. | ||
ssl_serverlista / elementos = cadena | Servidores SSL. | |||
ftps_client_cert_requestcuerda |
|
Acción basada en el error de solicitud de certificado del cliente durante el protocolo de enlace FTPS. | ||
https_client_cert_requestcuerda |
|
Acción basada en el error de solicitud de certificado de cliente durante el protocolo de enlace HTTPS. | ||
identificaciónentero / requerido | ID de servidor SSL. | |||
imaps_client_cert_requestcuerda |
|
Acción basada en el error de solicitud de certificado de cliente durante el protocolo de enlace IMAPS. | ||
ipcuerda | Dirección IPv4 del servidor SSL. | |||
pop3s_client_cert_requestcuerda |
|
Acción basada en el error de solicitud de certificado del cliente durante el protocolo de enlace de POP3S. | ||
smtps_client_cert_requestcuerda |
|
Acción basada en el error de solicitud de certificado de cliente durante el protocolo de enlace SMTPS. | ||
ssl_other_client_cert_requestcuerda |
|
Acción basada en el error de solicitud de certificado del cliente durante un protocolo de enlace SSL. | ||
estadocuerda |
|
ObsoletoA partir de Ansible 2.9, recomendamos utilizar el parámetro ‘estado’ de nivel superior, que indica si se debe crear o eliminar el objeto. | ||
untrusted_canamecuerda | Certificado de CA que no es de confianza utilizado por la inspección SSL. Fuente vpn.certificate.local.name. | |||
use_ssl_servercuerda |
|
Habilite / deshabilite el uso de la tabla del servidor SSL para la descarga de SSL. | ||
lista blancacuerda |
|
Habilite / deshabilite servidores exentos por lista blanca de FortiGuard. | ||
estadocuerda agregado en 2.9 de fortinet.fortios |
|
Indica si crear o eliminar el objeto. Este atributo ya estaba presente en la versión anterior en un nivel más profundo. Se ha trasladado a este nivel exterior. | ||
vdomcuerda | Defecto: “raíz” |
Dominio virtual, entre los definidos anteriormente. Un vdom es una instancia virtual de FortiGate que se puede configurar y utilizar como una unidad diferente. |
Notas
Nota
- Fortiosapi heredado ha quedado en desuso, httpapi es la forma preferida de ejecutar libros de jugadas
Ejemplos de
-hosts: fortigates collections:- fortinet.fortios connection: httpapi vars:vdom:"root"ansible_httpapi_use_ssl: yes ansible_httpapi_validate_certs: no ansible_httpapi_port:443tasks:-name: Configure SSL/SSH protocol options. fortios_firewall_ssl_ssh_profile:vdom:" vdom "state:"present"access_token:"" firewall_ssl_ssh_profile:caname:"(source vpn.certificate.local.name)" comment:"Optional comments."ftps:allow_invalid_server_cert:"enable"client_cert_request:"bypass"ports:"8"status:"disable"unsupported_ssl:"bypass"untrusted_cert:"allow"https:allow_invalid_server_cert:"enable"client_cert_request:"bypass"ports:"15"status:"disable"unsupported_ssl:"bypass"untrusted_cert:"allow"imaps:allow_invalid_server_cert:"enable"client_cert_request:"bypass"ports:"22"status:"disable"unsupported_ssl:"bypass"untrusted_cert:"allow"mapi_over_https:"enable"name:"default_name_27"pop3s:allow_invalid_server_cert:"enable"client_cert_request:"bypass"ports:"31"status:"disable"unsupported_ssl:"bypass"untrusted_cert:"allow"rpc_over_https:"enable"server_cert:"(source vpn.certificate.local.name)" server_cert_mode:"re-sign"smtps:allow_invalid_server_cert:"enable"client_cert_request:"bypass"ports:"41"status:"disable"unsupported_ssl:"bypass"untrusted_cert:"allow"ssh:inspect_all:"disable"ports:"47"ssh_algorithm:"compatible"ssh_policy_check:"disable"ssh_tun_policy_check:"disable"status:"disable"unsupported_version:"bypass"ssl:allow_invalid_server_cert:"enable"client_cert_request:"bypass"inspect_all:"disable"unsupported_ssl:"bypass"untrusted_cert:"allow"ssl_anomalies_log:"disable"ssl_exempt:-address:"(source firewall.address.name firewall.addrgrp.name)" address6:"(source firewall.address6.name firewall.addrgrp6.name)" fortiguard_category:"63"id:"64"regex:"" type:"fortiguard-category"wildcard_fqdn:"(source firewall.wildcard-fqdn.custom.name firewall.wildcard-fqdn.group.name)" ssl_exemptions_log:"disable"ssl_server:-ftps_client_cert_request:"bypass"https_client_cert_request:"bypass"id:"72"imaps_client_cert_request:"bypass"ip:"" pop3s_client_cert_request:"bypass"smtps_client_cert_request:"bypass"ssl_other_client_cert_request:"bypass"untrusted_caname:"(source vpn.certificate.local.name)" use_ssl_server:"disable"whitelist:"enable"
Valores devueltos
Los valores de retorno comunes están documentados aquí, los siguientes son los campos exclusivos de este módulo:
Llave | Devuelto | Descripción |
---|---|---|
construircuerda | siempre | Número de compilación de la imagen de fortigate Muestra:1547 |
http_methodcuerda | siempre | Último método utilizado para aprovisionar el contenido en FortiGate Muestra:PONER |
http_statuscuerda | siempre | Último resultado dado por FortiGate en la última operación aplicada Muestra:200 |
mkeycuerda | éxito | Clave maestra (id) utilizada en la última llamada a FortiGate Muestra:identificación |
nombrecuerda | siempre | Nombre de la tabla utilizada para cumplir con la solicitud. Muestra:urlfilter |
senderocuerda | siempre | Ruta de la tabla utilizada para cumplir con la solicitud Muestra:webfilter |
revisióncuerda | siempre | Número de revisión interna Muestra:17.0.2.10658 |
de seriecuerda | siempre | Número de serie de la unidad Muestra:FGVMEVYYQT3AB5352 |
estadocuerda | siempre | Indicación del resultado de la operación Muestra:éxito |
vdomcuerda | siempre | Dominio virtual utilizado Muestra:raíz |
versióncuerda | siempre | Versión de FortiGate Muestra:v5.6.3 |
Autores
- Enlace Zheng (@chillancezen)
- Jie Xue (@ JieX19)
- Hongbin Lu (@ fgtdev-hblu)
- Frank Shen (@ frankshen01)
- Miguel Angel Muñoz (@mamunozgonzalez)
- Nicolas Thomas (@thomnico)
Si te sientes impulsado, tienes la libertad de dejar una noticia acerca de qué le añadirías a esta división.