iT邦幫忙

1

fortigate policy route設定完後,後續設定相對應政策的疑問?(dst_int=internal是怎麼判定的?)

狀況是有兩台防火牆A.B與一台電腦C
A: internal:10.1.9.254/16
B: internal:10.1.9.251/16
C: IP:10.1.2.245的default gateway是:10.1.9.254
要把流量導到10.1.9.251 所以在policy route有設好相關設定
問題點在
後續要設定政策讓10.1.2.245對internal 全通過 才能正常運作
http://ithelp.ithome.com.tw/upload/images/20160526/200845715gUehsDJop.jpg
而不是只設定10.1.2.245對10.1.9.251能通過就好

看了log,發現原因是要連出的外部ip的dst_int是internal,請問這個是怎麼判定的? 下面是LOG的紀錄
2016-05-26 15:33:24 Local0.Warning 10.1.9.254 date=2016-05-26,time=15:32:53,devname=FGT80C,device_id=FGT80C,type=traffic,
subtype=other,pri=warning,vd=root,src=10.1.2.245,src_port=0,src_int="internal",
dst=124.108.105.150,dst_port=2048,dst_int="internal",SN=107394190,status=deny,policyid=0,
dst_country="HongKong",src_country="Reserved",service=PING,proto=1,duration=81,sent=0,
rcvd=0,msg="Denied by forward policy check"
///////////////////////////////////////////////////
若還需要補充什麼請再告知我,感謝。

看更多先前的討論...收起先前的討論...
vit5015 iT邦新手 3 級 ‧ 2016-05-26 16:53:08 檢舉
發現排版亂掉了 該怎麼編輯@@ 還是只能砍掉重發
vit5015 iT邦新手 3 級 ‧ 2016-05-26 17:02:20 檢舉
抱歉 改版後不能編輯 若有什麼很難看懂的地方請告知 我再補充
zyman2008 iT邦大師 6 級 ‧ 2016-05-26 17:33:42 檢舉
檢查一下這個設定值, 是否有改成 Disable. 改回 default value: Enable
http://kb.fortinet.com/kb/documentLink.do?externalID=FD36468
vit5015 iT邦新手 3 級 ‧ 2016-05-26 18:02:39 檢舉
感謝提供線索 只是我剛剛看了 沒這個設定值 我的版本是V4.0 MR3 PATCH18 照這篇文章應該是有包含到? 所以外部IP的dst_int被判定成internal應該是不對的?
zyman2008 iT邦大師 6 級 ‧ 2016-05-26 20:25:31 檢舉
因為你的架構, C 若要到 internet,
(1) 封包會先到 A: internal
(2) 在 A 比對路由, 發現要將封包送往B
(3) 所以封包又從 A: internal 送出去到 B:internal
所以A的log, 呈現的是第(3)點的行為.
但以技術文件顯示, 以預設值應該不會被政策擋到. 不然你就自己加一條允許 internal to internal 的政策, 看是不是封包就過得了.
vit5015 iT邦新手 3 級 ‧ 2016-05-27 08:55:19 檢舉
是的,加了internal to internal是過的去的,只是看了log實在不明白怎麼判定的,才想發問。
感謝zyman2008大的解惑,我去看了比較新版本的防火牆是有這個設定的,之後再找機會升級版本看看。
zyman2008 iT邦大師 6 級 ‧ 2016-05-27 12:58:41 檢舉
你照mytiny大的方式下CLI, 應該可以解現在遇到的問題.
因為asymmertic route (or triangle route), 政策規則過了, 但TCP 會過不了stateful檢查.
vit5015 iT邦新手 3 級 ‧ 2016-05-27 15:42:22 檢舉
是說把asymroute enable嗎? 剛剛有試著設定一樣不能過,還是要加internal to internal。另外有測試版本比較新的防火牆,設定政策路由丟到另外一台防火牆,設定allow-traffic-redirect enable,一樣是要加上internal to internal的政策才能通過,以上供大家參考。
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 個回答

2
mytiny
iT邦超人 1 級 ‧ 2016-05-26 23:29:00
最佳解答

首先建議版大應該找維護的廠商來看看

如果沒簽維護,那當然每次遇技術問題都會很困擾

另外建議版大把架構圖及政策路由的設定放上來研判

因為如果小弟沒猜錯,兩台防火牆的IP都在同一段內網

如果PC要指定從某一台防火牆出去

何必捨近求遠直接將PC的閘道設到某一台防火牆介面IP就好

因為使用政策路由要非常小心優先規則 (政策路由 > 直接連接或應對 > 靜態路由 )

常常一用就影響到其他的路由,因此需要版大完整的路由表來研判

zyman2008大其實說得很清楚了,小弟看int to int 其實已經有政策

就怕版大的路由路徑不對稱(如果架構簡單應該不會)

因為那要下 asymroute enable 才能解

希望小弟建議有幫上一點忙嘍

vit5015 iT邦新手 3 級 ‧ 2016-05-27 09:18:36 檢舉

對,兩台防火牆都在內網,實際情況是想測試另外一台防火牆網頁阻擋的設定,想說把一部分使用者分去測試。
但不想一 一改動使用者的閘道,又想不到怎麼大量改一部分的人的閘道,所以才會出現這種捨近求遠的方式。
應該是有更好的方式,只是我沒想到.. 感謝你花時間回應

我要發表回答

立即登入回答