iT邦幫忙

0

Fortigate 100D 一直被Deny

老實說,不是很了解~~
想請問一下各位~!
連線到某個MAIL Server 無論是Web、POP3、SMTP都會被自己的FW Deny掉。
就算設定any也會,目前從UI上看起來沒有啟動IPS,
只有單純的FW、NAT、SSL VPN功能。
有方法可以從指令下直接把IPS整個關掉嗎?

網路架構是Wan1的IP與該台Mail Server的IP都是中華電信配發同一段的實體IP。
但是連接其他Web Server又很正常~~
快陣亡了~~
謝謝,如果還需要什麼資訊麻煩再跟我說。

config ips global
set fail-open enable
set intelligent-mode disable
set default-app-cat-mask 18446744073474670591
end
fail-open : enable
database : regular
traffic-submit : disable
anomaly-mode : continuous
session-limit-mode : heuristic
intelligent-mode : disable
socket-size : 64 (MB)
engine-count : 0
algorithm : engine-pick
skype-client-public-ipaddr:
deep-app-insp-timeout: 86400
deep-app-insp-db-limit: 100000

0
liupaul85
iT邦新手 5 級 ‧ 2015-06-30 15:09:30
最佳解答

1.你從外網ping的到mail server嗎?
2.mail server能連外嗎?
3.fortinet deny的錯誤訊息訊息是什麼?

看更多先前的回應...收起先前的回應...
lhy923 iT邦新手 5 級 ‧ 2015-06-30 15:25:43 檢舉

1.從其他外網直接連MAIL無論是web mail、SMTP、POP3都正常,是被Forti擋掉的
2.Mail Server直接設定實體IP串小烏龜直接上Internet
3.錯誤如圖檔

謝謝您!

lhy923 iT邦新手 5 級 ‧ 2015-06-30 15:25:58 檢舉

liupaul85 iT邦新手 5 級 ‧ 2015-07-01 09:12:30 檢舉
liupaul85 iT邦新手 5 級 ‧ 2015-07-01 09:13:02 檢舉

0
darkslayer
iT邦好手 1 級 ‧ 2015-06-30 18:25:48

你該不會把mail server的ip在fortigate上也設了吧!!

lhy923 iT邦新手 5 級 ‧ 2015-06-30 22:57:10 檢舉

哈哈!沒有啦~
這個錯應該還不至於會犯~~
但是還是謝謝提醒!

0
mytiny
iT邦大師 1 級 ‧ 2015-07-01 10:15:36

按版大的說明,Fortigate其實與mail Server是同時接在小烏龜上
說實話是非常不建議這樣的架構
因為mail Server幾乎完全沒受到Fortigate的保護
建議還是將mail Server網線插到防火牆上去做設定才對
目前你的架構等於是從內網Internal往WAN1的政策有問題
建議你設一條單獨的防火牆政策
也就是internal All to mail(真實IP)
再把它放到最前面去觀察

所有內容防護的東西,如IPS,AV等等
如果沒有在政策套用是不會有作用的
版大之前去查IPS等等,小弟看法查找方向是不對的
前述政策若設定完成後,請觀察Log是否有流量
如果一直不能通訊,有可能是電信業者的問題
順道一提,版大該不會是只低價購買產品卻沒有包含SI服務吧
不然提供產品的SI應該清楚你的架構
至少可以協助你一些處理才是

lhy923 iT邦新手 5 級 ‧ 2015-07-02 00:11:38 檢舉

嗯恩!我了解您說的,沒有串在Fortigate後面這件事情~~
但是這個問題上面不存在技術問題,只存在政治問題。
不想去攪和,所以就這樣吧~~

感謝您的回答!!

我要發表回答

立即登入回答