[v6.0.1, v5.6.5, v5.4.9] FortiOS Cook & Research (第28頁)

prottos2003

prottos2003
個人積分：10分
文章編號：57653543

10分

271樓

2015-10-01 13:35

vxr wrote:
#1. ECMP一...(恕刪)

不好意思問題比較多一點

1. 如果要把ECMP 關閉不使用了話是否有設定參數可以關閉呢一直找不到這個設定參數

2. 了解了謝謝

3. 但是如果我內部沒有dns server 時解析我們內部的的主機變成WAN的IP Fortigate secondary ip 這個時候我在防火牆上的policy該如何下呢? 也是WAN to Internal or Internal to Internal ? 除了下DNAT (virtual ip) 然後再把Poicy SNAT 打開???

vxr

vxr
個人積分：400分
文章編號：57654153

400分

樓主

2015-10-01 14:14

prottos2003 wrote:
不好意思問題比較...(恕刪)

#1. 我不認為ECMP是可以被關閉的, 如果你不想用. 可以不用理會.

#3. 沒有DNS translation協助.
你只能新增一個VIP item將external IP對應到2nd IP.
WAN > Internal
policy不要啟用SNAT, 因為那個一般對inbound traffic沒有任何意義.

prottos2003

prottos2003
個人積分：10分
文章編號：57709005

10分

273樓

2015-10-06 0:05

vxr wrote:
#1. 我不認為ECMP...(恕刪)

沒有DNS translation協助做NAT Loopback 的時候

預設應該是當你Internal 上來的網段與 FG的Internal Interface 相同網段才會幫你做Loopback 沒錯吧自動轉成Internal Interface IP 但是萬一下面有L3 網段，上來的Source 網段與FG的Internal Interface不同網段應該就不會做NAT Loopback
(小弟自己測試的結果是這樣) 如果遇到這類型該如何解決呢? (目前是Policy使用Internal to Internal + Virtual IPs 去設定，請問這樣正確嗎?

vxr

vxr
個人積分：400分
文章編號：57711270

400分

樓主

2015-10-06 9:16

prottos2003 wrote:
沒有DNS translation...(恕刪)

"預設應該是當你Internal 上來的網段與 FG的Internal Interface 相同網段才會幫你做Loopback 沒錯吧"
他沒有甚麼特別的Loopback機制, 請不要跟一般常見的firewall機制混淆. 他就是incoming interface被設定成DNAT所使用的介面, 就透過這個介面NAT到policy指令的dest. interface.
當然透過CLI操作可以決定要不要ARP reply.

"自動轉成Internal Interface IP 但是萬一下面有L3 網段，上來的Source 網段與FG的Internal Interface不同網段應該就不會做NAT Loopback (小弟自己測試的結果是這樣) 如果遇到這類型該如何解決呢?"
不清楚你的描述. 請問是如下的結構?

(L3-2-Devices) <==> ROUTER <==> (L3-1-Devices) <==> FGT <==> ATUR/VTUR/GPON <==> {INTERNET}

prottos2003

prottos2003
個人積分：10分
文章編號：57712772

10分

275樓

2015-10-06 10:47

vxr wrote:
'預設應該是當你Internal...(恕刪)

這樣說好了因為一直沒有給您架構圖好好討論是小弟的問題不好意思

先讓你看我的L2 架構認知

當我設定了一條 DNAT 的Policy

Virtual IPs mail
External IP 221.182.11.71
Mapped IP 192.168.100.100

Policy
Zone WAN1 to Internal
Source All Destination mail(Virtual IPs 物件)

此時所有從Internet來的封包Destination IP(221.182.11.71)會被FG DNAT成 (192.168.100.100)

當沒有DNS解析時內部使用者解析Mail Server為FG的WAN (221.182.11.71)
此時FG會把這種Source IP 轉換為FG Internal 192.168.100.254，並且把Destination IP (221.182.11.71)DNAT成 192.168.100.100)，這個時候從Mail Server上看到的Source IP 為FG Internal 192.168.100.254
就我的理解他同時做了SNAT & DNAT

但是當有L3的架構時

當沒有DNS解析時內部使用者解析Mail Server為FG的WAN (221.182.11.71)
我發現FG並沒有幫我做SNAT，所以小弟才判斷FG必須要與Internal 相同網段，才會做SNAT

相愛難胖亦難

相愛難胖亦難
個人積分：29分
文章編號：57718144

29分

276樓

2015-10-06 17:22

請問一下，100D要上機櫃，兩側機耳朵要去哪買？
用關鍵字都搜到大陸淘寶，露天試了幾個關鍵字都沒找到
不知道有沒人知道可去哪買，謝謝

另外100D降80C，或80C升100D 設定檔能還原回去嗎？

mandymak

mandymak
個人積分：11分
文章編號：57718805

11分

277樓

2015-10-06 18:31

相愛難胖亦難 wrote:
請問一下，100D...(恕刪)

http://www.rackmount.it/products/fortirack.html

相愛難胖亦難

相愛難胖亦難
個人積分：29分
文章編號：57741050

29分

278樓

2015-10-08 11:49

謝謝，我還是去買個底板來裝好了~比較好找

mandymak wrote:
http://www...(恕刪)

請教下，我有三條線路，兩條固定制、一條家用固定
我測試開了http、https遠端管理、也試著換port、不限制ip
但只有透過家用那條固定IP能連進來，其他兩條固定IP的都不行，只能從內部連

突然想起這問題之前問過，應該跟80C使用5.2.4同樣...只是我家用居然可連
大陸100D 5.2.4也可遠端進，台灣100D 版本5.2.4 則不行

這種鳥問題也拖太久沒處理了吧？久到我都忘了5.2.4有這毛病
降版OK了

mark0936 wrote:
Thank You...(恕刪)

相愛難胖亦難

相愛難胖亦難
個人積分：29分
文章編號：57784154

29分

279樓

2015-10-12 12:03

請問，我在Policy裡，設定了內對外Web Filter 僅針對影音網站過濾
但只要開了SSL Inspection 使用預設的certificate-inspection
Facebook就沒法連線，不知該如何解決
檢查SSL/SSH Inspection內設定，好像沒什麼特別選項可排除
但有個Allow Invalid SSL Certificates 要打勾嗎

還是要新增一條Policy針對www.facebook.com不做SSL Inspection

vxr

vxr
個人積分：400分
文章編號：57800550

400分

樓主

2015-10-13 14:56

prottos2003 wrote:
這樣說好了因為...(恕刪)

你可以提供你的policy設定嗎?..

config firewall policy
show