這架構有triangle route的狀況.
確切封包會怎麼走, 和200B的行為與來源端的行為有關.
所以要先確認:

1. 200B會不會發icmp redirect給來源端.
2. 來源端收不收icmp redirect並follow 做redirect動作.

如果200B會發redirect,來源端也follow.就會有你懷疑的問題

會因為設定了丟給遠傳的router，導致防火牆上禁止不到嗎

建議做法:

1. 因為樓主所規劃的網段為CLASS B , 所以先調設備規劃:將不可連到二廠的設備"集中"到某個CLASS C 的網段.(設備過多可以開二個或多個連續的CLASS C 的網段)
2. 在一廠的L3 SWITCH (CORE SWITCH) 上加STATIC ROUTING 將不去二廠的網段直接DENY 掉.

基本上這樣就可以達到目的.但是防火牆上也是不會有LOG .

如果想在防火牆上有LOG 的話.就要變成:
將L3 SWITCH 上的STATIC ROUTING 全部停掉,只留0.0.0.0/0 指到防火牆.
再由防火牆上設定STATIC ROUTING 指到各備設.
單簡講:就是將 L3上的STATIC ROUTING 移到防火牆上.
但是不建議用這種做法.因為容易造成內部的網路瓶頸 (在防火牆與L3之間)

按版大的補充說明，遠傳的Router並未直接接在防火牆上
這種舊架構很常見，主要都是為了配合VPN的運作
但是這樣問題就會很多
除上述提到的狀況，外點回傳的資安問題也很多
簡單點說，就是封包未經過防火牆
所以難以實施資安管控

根本解決辦法，就是將路由器接到防火牆上
相關的路由或網段請VPN廠商提供協助設定
其後再自行設定相關防火牆政策

如果可以請vpn廠商改成另一個網段, 然後把該段從 forti 放另一個 interface 是否就能走 policy 去管控了