fortigate 100D問題

防火牆 ip

hn84717057 2018-03-19 21:38:13 ‧ 6237 瀏覽

分享至

請問各位一下
我使用fortigate 100D這款防火牆
我用cmd無法ping任何外部的ip
可是電腦可以正常上網
如果拿筆電直接去接數據機上接線
也都很正常…

想問問不知道這個是什麼問題

補覺鳴詩 iT邦高手 1 級 ‧ 2018-03-19 22:03:46 檢舉

你要不要把 config 貼出來方便大家除錯?

zyman2008 iT邦大師 6 級 ‧ 2018-03-20 09:19:12 檢舉

到 "政策與物件" "服務", 頁面拉到下面找到 "基本用到的PORT" 這個群組.
看一下群組裡有沒有加 "PING" 這個項目, 沒有的話把它加進去.

hsiang11 iT邦好手 1 級 ‧ 2018-03-20 11:59:32 檢舉

只開基本用到的PORT當然會擋掉很多東西
如果不清楚TCP/IP所有用到的PORT，會造成除錯上的很多麻煩
那就要去理解每一個PORT代表的服務
不然就是全開之後再針對想擋的服務在Deny掉，這比較不會弄到自己

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

2 個回答

bluegrass

iT邦高手 1 級 ‧ 2018-03-20 09:24:15

最佳解答

少年, 你得建一條FIREWALL POLICY放最頂

ANY ZONE TO ANY ZONE ANY ADDRESS, SERVICE: ALL_ICMP

ACTION ALLOW

回應 1
分享
檢舉

comhlp iT邦新手 4 級 ‧ 2018-03-20 16:41:08 檢舉

安全點的話應該是
LAN TO WAN IP:ANY ALWAYS PORT/SEVICES:ICMP ACCEPT

登入發表回應

mytiny

iT邦超人 1 級 ‧ 2018-03-20 12:59:20

樓主看起來對網路管制的要求很嚴格
可是網路運作早已不是單純管service port就可以的
建議除在"基本用到的PORT"裡加入ping之外
對於來源也要多細分管理(只有一條policy很奇怪)
[不同的人用到的東西應該會不同]
至於應用層的類別更是要仔細管理
一般採購這類防火牆MIS的都常忽略此一部分