Fortigate 60D 設定如下圖
防火牆上設定兩組固定IP
第一組固定IP Forward 到 192.168.1.11
防火牆策略也如圖上設定
從外網輸入公司網址(例www.123.com.tw)
連到置於內網的網頁(郵件)主機(第二組固定IP Forward 到 192.168.1.2),這部份OK。
但是內網瀏覽器輸入公司網址卻沒有辦法連線。輸入內網IP才可以連線。
包括outlook收信原本使用mail.123.com.tw收信
目前也只能使用192.168.1.2才能收信
奇怪的事情是:有重開過防火牆與網站(郵件)主機後,有時候會正常。
但這2天重啟4-5次皆無效果,內網依然不能輸入網址看到網站...
想請問這種情況會是哪邊出問題的機率較大?
是防火牆呢?還是網頁&郵件主機?
除了在電腦hosts檔案加入對應內容的方式之外,
希望各位高手協助提供其他解答,感謝~!!
已邀請的邦友 {{ invite_list.length }}/5
從您貼的Policy配置圖無法判斷問題發生的原因
因為看來流量紀錄上都是有通過資料的
況且按您描述狀況都在DNS解析
請問是否有內部DNS主機,
而PC上設定是否DNS都指向該主機
可以往DNS設定方向查核
網路問題的發生,常常不是防火牆的問題
如果有問題在最初設置時就會有狀況了
不會現在才突然發生
倒是建議您這台FG-60D應該盡速升級到5.0.7
不建議停留在5.0.1-5.0.6任何版本
感謝您的回應與提醒
防火牆我會盡速升級
電腦DNS皆設定為168.95.1.1
因為剛來這家公司,正在確認相關的網路設定是否正確
郵件網站主機(192.168.1.2)上是有啟動DNS服務,但沒有電腦是設定DNS到192.168.1.2
但HINET的domain服務網頁是填寫兩次
rohost.123.com.tw 123.123.123.148
rohost.123.com.tw 123.123.123.148 這部份也沒問題
可能問題是在Mail這台主機的DNS設定了
看來每次你收信都必須先去TWNIC問郵件IP
請查看TWNIC是否有設正確MX紀錄
在Fortigate路由規則上
direct access > policy route > static route
意思是如果你外部DNS的MX紀錄做好後
只要你的vip對應設的正確
信件自然就會直接轉到內部郵件主機收發
不會需要流量跑出去再跑回來
按你目前描述的情形說
應該是這樣的機制有某個環節沒有設好
可以試著再檢查一下
因為原本是沒有使用Hinet的DNS代管服務,就去申請了。
說是24小時後啟用,但實際上3小時內就能使用
後來抓到問題了,是郵件網頁主機的設定問題
郵件主機因為郵件攻擊阻斷規則把防火牆(192.168.1.1)擋了...= ="
修改後LOOPBACK也都正常,內網能正常訪問網站了
非常謝謝mytiny的回應指導!
iThome鐵人賽
看影片追技術