Fortigate 100D 一直被Deny

防火牆 ips fortigate firewall

lhy923 2015-06-30 11:14:42 ‧ 7174 瀏覽

分享至

老實說，不是很了解～～
想請問一下各位～！
連線到某個MAIL Server 無論是Web、POP3、SMTP都會被自己的FW Deny掉。
就算設定any也會，目前從UI上看起來沒有啟動IPS，
只有單純的FW、NAT、SSL VPN功能。
有方法可以從指令下直接把IPS整個關掉嗎？

網路架構是Wan1的IP與該台Mail Server的IP都是中華電信配發同一段的實體IP。
但是連接其他Web Server又很正常～～
快陣亡了～～
謝謝，如果還需要什麼資訊麻煩再跟我說。

config ips global
set fail-open enable
set intelligent-mode disable
set default-app-cat-mask 18446744073474670591
end
fail-open : enable
database : regular
traffic-submit : disable
anomaly-mode : continuous
session-limit-mode : heuristic
intelligent-mode : disable
socket-size : 64 (MB)
engine-count : 0
algorithm : engine-pick
skype-client-public-ipaddr:
deep-app-insp-timeout: 86400
deep-app-insp-db-limit: 100000

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

3 個回答

liupaul85

iT邦新手 4 級 ‧ 2015-06-30 15:09:30

最佳解答

1.你從外網ping的到mail server嗎?
2.mail server能連外嗎?
3.fortinet deny的錯誤訊息訊息是什麼?

回應 4
分享
檢舉

看更多先前的回應...收起先前的回應...

lhy923 iT邦新手 5 級 ‧ 2015-06-30 15:25:43 檢舉

1.從其他外網直接連MAIL無論是web mail、SMTP、POP3都正常，是被Forti擋掉的
2.Mail Server直接設定實體IP串小烏龜直接上Internet
3.錯誤如圖檔

謝謝您！

lhy923 iT邦新手 5 級 ‧ 2015-06-30 15:25:58 檢舉

liupaul85 iT邦新手 4 級 ‧ 2015-07-01 09:12:30 檢舉

liupaul85 iT邦新手 4 級 ‧ 2015-07-01 09:13:02 檢舉

登入發表回應

darkslayer

iT邦好手 1 級 ‧ 2015-06-30 18:25:48

你該不會把mail server的ip在fortigate上也設了吧!!

回應 1
分享
檢舉

lhy923 iT邦新手 5 級 ‧ 2015-06-30 22:57:10 檢舉

哈哈！沒有啦～
這個錯應該還不至於會犯～～
但是還是謝謝提醒！

登入發表回應

mytiny

iT邦超人 1 級 ‧ 2015-07-01 10:15:36

按版大的說明，Fortigate其實與mail Server是同時接在小烏龜上
說實話是非常不建議這樣的架構
因為mail Server幾乎完全沒受到Fortigate的保護
建議還是將mail Server網線插到防火牆上去做設定才對
目前你的架構等於是從內網Internal往WAN1的政策有問題
建議你設一條單獨的防火牆政策
也就是internal All to mail(真實IP)
再把它放到最前面去觀察

所有內容防護的東西，如IPS,AV等等
如果沒有在政策套用是不會有作用的
版大之前去查IPS等等，小弟看法查找方向是不對的
前述政策若設定完成後，請觀察Log是否有流量
如果一直不能通訊，有可能是電信業者的問題
順道一提，版大該不會是只低價購買產品卻沒有包含SI服務吧
不然提供產品的SI應該清楚你的架構
至少可以協助你一些處理才是