請問如何讓分屬兩台防火牆內的機器互連

firewall policy

youmaycry 2018-04-27 09:49:31 ‧ 8133 瀏覽

分享至

如圖所示，2台主機分屬不同防火牆內，小弟用的是fortigate防火牆，不確定POLICY要怎麼開，是2台防火牆都開來源到目的IP嗎?

窮嘶發發發 iT邦高手 1 級 ‧ 2018-04-27 11:40:37 檢舉

是用靜態路由吧，建議去K一下 TCPIP 的路由協定，這篇的篇幅很難講清楚

新二君 iT邦新手 2 級 ‧ 2018-04-27 21:47:58 檢舉

需要開來源ip 即可，例如 192.168.0.0 /24 any any. Accept

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

5 個回答

bluegrass

iT邦高手 1 級 ‧ 2018-04-27 18:10:19

最佳解答

如果你用VPN, FORTIGATE去FORTIGATE用內建TEMPLATE就能沒腦建好了

如果你不用VPN而是用LAN直連

假設

(192.168.0.0/24) A Port 2 - Fortigate A - A Port 3 (172.16.0.1)----

------(172.16.0.254) B Port 3 - Fortigate B - B Port 2 (192.168.1.0/24)

Fortigate A setting:
Policy: From Port 2,3 to Port 2,3 Any Any Allow, No NAT
Static Route: Network 192.168.1.0/24, Gateway: 172.16.0.254

Fortigate B setting:
Policy: From Port 2,3 to Port 2,3 Any Any Allow, No NAT
Static Route: Network 192.168.0.0/24, Gateway: 172.16.0.1

回應
分享
檢舉

登入發表回應

林門神JanusLin

iT邦超人 1 級 ‧ 2018-04-27 11:49:40

建VPN

回應
分享
檢舉

登入發表回應

jeles51

iT邦研究生 3 級 ‧ 2018-04-27 15:44:37

VPN+1

提供官方文件:
Site-to-site IPsec VPN with two FortiGates
http://cookbook.fortinet.com/site-site-ipsec-vpn-two-fortigates-56/

GOOGLE一下,
有不少前輩有分享 Fortigate site to site VPN.

回應
分享
檢舉

登入發表回應

mytiny

iT邦超人 1 級 ‧ 2018-04-27 16:52:02

路由設定不只要有去的
還要有設回程的路由

簡單來說，兩台FW都要設路由啦

回應
分享
檢舉

登入發表回應

yesongow

iT邦大師 1 級 ‧ 2018-04-29 11:39:23

FW1的哪個interface接 Sauce(醬汁)？
FW1的哪個interface接FW2
FW2的哪個interface接FW1
FW1的哪個interface接 destroy(破壞)？

沒寫出來，規則與方法不同！

如果Source 接 FW1的LAN
FW1的WAN 接FW2 LAN
FW2的LAN 接 FW1 WAN
FW2的WAN 接 Destation

那規則就是LAN to WAN (Destation IP) any port

回應
分享
檢舉

登入發表回應

我要發表回答

立即登入回答

參賽組數

1064 組

團體組數

40 組

累計文章數

22045 篇

完賽人數

594 人

15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js

IT邦幫忙