[v6.0.1, v5.6.5, v5.4.9] FortiOS Cook & Research (第29頁)

vxr
個人積分：400分
文章編號：57800678

400分

樓主

2015-10-13 15:06

相愛難胖亦難 wrote:
請問，我在Policy...(恕刪)

certificate-inspection的有效情況是policy僅使用WebFiltering...
混合其他UTM服務依然受其影響...

除非你使用full-inspection, 然後新增一個address object
type為FQDN
位址: *.facebook.com
把這個object加到FullSSL Inspection的SSL Exemption..
這樣將會使SSL Inspection跳過facebook..

通常設定SSL Inspection要很小心使用...

Wildcard FQDN物件應用在firewall policy將允許在未來的FOS v5.4使用..
屆時可以新增一個policy, 透過個別的address object去單獨排開設定...

prottos2003

prottos2003
個人積分：10分
文章編號：57803945

10分

282樓

2015-10-13 19:39

vxr wrote:
你可以提供你的policy...(恕刪)

小弟有參考這篇但是仍然不生效

另外Policy 已經給您

vxr

vxr
個人積分：400分
文章編號：57806313

400分

樓主

2015-10-13 23:04

prottos2003 wrote:
小弟有參考這篇但...(恕刪)

根據您的案例..
我進行了一些實作..

policy如下設定:

雖然external > wlb對應ADMIN服務的policy沒有啟動SNAT...
但是從Session Monitor或著使用diag debug flow進行追蹤..
依然發現會使用SNAT, 我不確定是甚麼狀況..

可能需要更多的文件研究一下...

你可以使用diag debug flow進行追蹤...

prottos2003

prottos2003
個人積分：10分
文章編號：57806867

10分

284樓

2015-10-13 23:46

vxr wrote:
根據您的案例..我...(恕刪)

小弟實際測試在L2 的環境 FG Internal IP 、 PC IP 、 Server Private IP 相同網段時
當有設定一筆DNAT 給Server IP 我的PC直接連線到Server Public IP 很明確的FG會自動幫我SNAT成FG Internal IP 我認為這是無庸置疑的

我的問題在於L3環境 PC IP 、 Server Private IP相同網段但是FG Internal IP沒有跟PC & Server相同網段時預設是不會做SNAT 這是小弟目前的狀況
但我不是使用WLB 也許跟您的環境還是有點差異

我明天會再嘗試diag debug flow

vxr

vxr
個人積分：400分
文章編號：57808459

400分

樓主

2015-10-14 6:56

prottos2003 wrote:
小弟實際測試在L2...(恕刪)

"小弟實際測試在L2 的環境 FG Internal IP 、 PC IP 、 Server Private IP 相同網段時
當有設定一筆DNAT 給Server IP 我的PC直接連線到Server Public IP 很明確的FG會自動幫我SNAT成FG Internal IP 我認為這是無庸置疑的"
YES, 我進行了一些測試..
在internal和VIP轉發到同internal網段下....
確實發現會混合SNAT+DNAT操作..
id=20085 trace_id=1805 func=print_pkt_detail line=4420 msg="vd-root received a packet(proto=6, 10.2.149.63:40452->211.72.70.A:7001) from hw.trunk1. flag [F.], seq 1663589054, ack 3279055755, win 266"
id=20085 trace_id=1805 func=resolve_ip_tuple_fast line=4479 msg="Find an existing session, id-03e42e3a, original direction"
id=20085 trace_id=1805 func=__ip_session_run_tuple line=2564 msg="DNAT 211.72.70.A:7001->10.2.149.126:7001"
id=20085 trace_id=1805 func=__ip_session_run_tuple line=2550 msg="SNAT 10.2.149.63->10.2.149.16:40452"

"我的問題在於L3環境 PC IP 、 Server Private IP相同網段但是FG Internal IP沒有跟PC & Server相同網段時預設是不會做SNAT 這是小弟目前的狀況
但我不是使用WLB 也許跟您的環境還是有點差異"
WLB不會有任何影響...
在我之前提供給妳的測試情況..
host和server位於第二層網段下依然有SNAT+DNAT的情況....

mdigital

mdigital
個人積分：1分
文章編號：57809542

1分

286樓

2015-10-14 9:18

mdigital wrote:
我是今天更新 Chrome...(恕刪)

這兩天 Chrome 更新的版本 v46.0.2490.71
開 FortiOS v5 看起來沒什麼問題...回報給各位 ~

prottos2003

prottos2003
個人積分：10分
文章編號：57820206

10分

287樓

2015-10-14 22:52

vxr wrote:
'小弟實際測試在L2...(恕刪)

我的debug flow(小弟有隱藏Public IP) 只做了DNAT 並沒有跑SNAT

id=20085 trace_id=79 func=print_pkt_detail line=4420 msg="vd-root received a packet(proto=6, 192.168.10.41:51646->59.124.X.100:25) from internal. flag [S], seq 3176403577, ack 0, win 8192"
id=20085 trace_id=79 func=init_ip_session_common line=4569 msg="allocate a new session-0035a504"
id=20085 trace_id=79 func=fw_pre_route_handler line=176 msg="VIP-192.168.10.5:25, outdev-internal"
id=20085 trace_id=79 func=__ip_session_run_tuple line=2564 msg="DNAT 59.124.X.100:25->192.168.10.5:25"
id=20085 trace_id=79 func=vf_ip4_route_input line=1586 msg="Match policy routing: to 59.124.X.97 via ifindex-4"
id=20085 trace_id=79 func=vf_ip4_route_input line=1596 msg="find a route: flags=00000000 gw-59.124.X.97 via wan1"
id=20085 trace_id=79 func=fw_forward_handler line=546 msg="Denied by forward policy check (policy 0)"

vxr

vxr
個人積分：400分
文章編號：57822004

400分

樓主

2015-10-15 4:33

prottos2003 wrote:
我的debug flow...(恕刪)

你可以提供一下你的static routing和policy routing的設定嗎?...

config router static
show

config router policy
show

prottos2003

prottos2003
個人積分：10分
文章編號：57823993

10分

289樓

2015-10-15 10:00

vxr wrote:
你可以提供一下你的static...(恕刪)

我已經把Static Route & Policy Route 給您了再麻煩您參考看看

vxr

vxr
個人積分：400分
文章編號：57825061

400分

樓主

2015-10-15 11:04

prottos2003 wrote:
我已經把Static...(恕刪)

你可以先把edit 4的policy route先暫時刪掉..
在試試看嗎?...