iT邦幫忙

0

fortigate 100D問題

請問各位一下
我使用fortigate 100D這款防火牆
我用cmd無法ping任何外部的ip
可是電腦可以正常上網
如果拿筆電直接去接數據機上接線
也都很正常…

想問問不知道這個是什麼問題
https://ithelp.ithome.com.tw/upload/images/20180320/20109146aacEijd70D.jpg
https://ithelp.ithome.com.tw/upload/images/20180320/20109146sRwATbI67a.jpg

你要不要把 config 貼出來方便大家除錯?
zyman2008 iT邦大師 9 級 ‧ 2018-03-20 09:19:12 檢舉
到 "政策與物件" "服務", 頁面拉到下面找到 "基本用到的PORT" 這個群組.
看一下群組裡有沒有加 "PING" 這個項目, 沒有的話把它加進去.
hsiang11 iT邦研究生 5 級 ‧ 2018-03-20 11:59:32 檢舉
只開基本用到的PORT當然會擋掉很多東西
如果不清楚TCP/IP所有用到的PORT,會造成除錯上的很多麻煩
那就要去理解每一個PORT代表的服務
不然就是全開之後再針對想擋的服務在Deny掉,這比較不會弄到自己

2 個回答

1
bluegrass
iT邦新手 1 級 ‧ 2018-03-20 09:24:15
最佳解答

少年, 你得建一條FIREWALL POLICY放最頂

ANY ZONE TO ANY ZONE ANY ADDRESS, SERVICE: ALL_ICMP

ACTION ALLOW

https://ithelp.ithome.com.tw/upload/images/20180320/20102031fIVe5nMgRq.jpg

comhlp iT邦新手 5 級 ‧ 2018-03-20 16:41:08 檢舉

安全點的話應該是
LAN TO WAN IP:ANY ALWAYS PORT/SEVICES:ICMP ACCEPT

0
mytiny
iT邦大師 1 級 ‧ 2018-03-20 12:59:20

樓主看起來對網路管制的要求很嚴格
可是網路運作早已不是單純管service port就可以的
建議除在"基本用到的PORT"裡加入ping之外
對於來源也要多細分管理(只有一條policy很奇怪)
[不同的人用到的東西應該會不同]
至於應用層的類別更是要仔細管理
一般採購這類防火牆MIS的都常忽略此一部分

我只是接手做的
第一次碰到有防火牆的公司
所以很多也需要摸索

我要發表回答

立即登入回答