fortigate policy route設定完後，後續設定相對應政策的疑問?(dst_int=internal是怎麼判定的?)

fortigate policy route 路由封包類型

vit5015 2016-05-26 16:48:45 ‧ 6510 瀏覽

分享至

狀況是有兩台防火牆A.B與一台電腦C
A: internal:10.1.9.254/16
B: internal:10.1.9.251/16
C: IP:10.1.2.245的default gateway是:10.1.9.254
要把流量導到10.1.9.251 所以在policy route有設好相關設定
問題點在
後續要設定政策讓10.1.2.245對internal 全通過才能正常運作

而不是只設定10.1.2.245對10.1.9.251能通過就好

看了log，發現原因是要連出的外部ip的dst_int是internal，請問這個是怎麼判定的? 下面是LOG的紀錄
2016-05-26 15:33:24 Local0.Warning 10.1.9.254 date=2016-05-26,time=15:32:53,devname=FGT80C,device_id=FGT80C,type=traffic,
subtype=other,pri=warning,vd=root,src=10.1.2.245,src_port=0,src_int="internal",
dst=124.108.105.150,dst_port=2048,dst_int="internal",SN=107394190,status=deny,policyid=0,
dst_country="HongKong",src_country="Reserved",service=PING,proto=1,duration=81,sent=0,
rcvd=0,msg="Denied by forward policy check"
///////////////////////////////////////////////////
若還需要補充什麼請再告知我，感謝。

看更多先前的討論...收起先前的討論...

vit5015 iT邦新手 2 級 ‧ 2016-05-26 16:53:08 檢舉

發現排版亂掉了該怎麼編輯@@ 還是只能砍掉重發

vit5015 iT邦新手 2 級 ‧ 2016-05-26 17:02:20 檢舉

抱歉改版後不能編輯若有什麼很難看懂的地方請告知我再補充

zyman2008 iT邦大師 6 級 ‧ 2016-05-26 17:33:42 檢舉

檢查一下這個設定值, 是否有改成 Disable. 改回 default value: Enable
http://kb.fortinet.com/kb/documentLink.do?externalID=FD36468

vit5015 iT邦新手 2 級 ‧ 2016-05-26 18:02:39 檢舉

感謝提供線索只是我剛剛看了沒這個設定值我的版本是V4.0 MR3 PATCH18 照這篇文章應該是有包含到? 所以外部IP的dst_int被判定成internal應該是不對的?

zyman2008 iT邦大師 6 級 ‧ 2016-05-26 20:25:31 檢舉

因為你的架構, C 若要到 internet,
(1) 封包會先到 A: internal
(2) 在 A 比對路由, 發現要將封包送往B
(3) 所以封包又從 A: internal 送出去到 B:internal
所以A的log, 呈現的是第(3)點的行為.
但以技術文件顯示, 以預設值應該不會被政策擋到. 不然你就自己加一條允許 internal to internal 的政策, 看是不是封包就過得了.

vit5015 iT邦新手 2 級 ‧ 2016-05-27 08:55:19 檢舉

是的，加了internal to internal是過的去的，只是看了log實在不明白怎麼判定的，才想發問。
感謝zyman2008大的解惑，我去看了比較新版本的防火牆是有這個設定的，之後再找機會升級版本看看。

zyman2008 iT邦大師 6 級 ‧ 2016-05-27 12:58:41 檢舉

你照mytiny大的方式下CLI, 應該可以解現在遇到的問題.
因為asymmertic route (or triangle route), 政策規則過了, 但TCP 會過不了stateful檢查.

vit5015 iT邦新手 2 級 ‧ 2016-05-27 15:42:22 檢舉

是說把asymroute enable嗎? 剛剛有試著設定一樣不能過，還是要加internal to internal。另外有測試版本比較新的防火牆，設定政策路由丟到另外一台防火牆，設定allow-traffic-redirect enable，一樣是要加上internal to internal的政策才能通過，以上供大家參考。

登入發表討論