請教 fortigate 60d 設定 firewall policy 的問題

fortigate 60d firewall hinet

lisans 2019-12-23 16:39:17 ‧ 1910 瀏覽

請問一下，今天在設定 firewall policy 的時候，先設定了幾個 IP 可以連線到 hinet smtp，然後 deny 掉整個 192.168.0.0/24 連線到 hinet smtp，測試的時候發現只要 deny 那條 enable，所有的人都沒辦法連到 hinet smtp，在 gui 介面確認 policy 順序應該沒錯

mytiny iT邦超人 1 級 ‧ 2019-12-23 18:11:28 檢舉

其實不用放這條deny的policy
沒有放行的IP同時又沒有給smtp服務的人
是不會有smtp可以用的

lisans iT邦新手 4 級 ‧ 2019-12-25 11:00:45 檢舉

因為公司是比較開放的態度，所以我們基本上是全部開放，遇到有需要擋的再擋起來，前幾天發現無法使用 hinet 的 server 寄信，發信去問客服才被告知在 7 秒內發了超過 100 封信，所以被擋發信功能
所以才想到要來設定阻擋大家偷寄信功能

lisans iT邦新手 4 級 ‧ 2019-12-25 11:28:14 檢舉

我先設定一個 packet capture，剛剛即時觀察了一下，沒有什麼機器在寄信，上限 4000 packets，每天上來看一下，再觀察看看

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

1 個回答

mytiny

iT邦超人 1 級 ‧ 2019-12-23 18:08:01

可能跟樓主的相關介面所做的全部policy順序有關
建議將其全部列出，以利大家幫忙一起找找看順序哪裡有誤

若是不方便全部列出
請自行查看Log紀錄
(前提是Log記錄在每條政策要開啟all，而非UTM)
LOG紀錄會說明是在哪一條政策被擋掉(policy:ID)
或是哪一條可通行
Log即便沒有硬碟紀錄(例如:FG-60D)
仍可短暫記錄在memory
另外，也要調整memory紀錄的等級為information
(這個就要對應OS的版本了)