討論群組
小惡魔市集 悅遊日本 活動報導
我要回覆
pctine
pctine
5089分
樓主
pctine
pctine
個人積分:5089分
文章編號:54090408

Fortigate port forwarding 設定問題

  • 2015-01-18 1:52
  • 6931
於 Fortigate 60C v5.2 設置 port forwarding.

於 Virtual IP 已指定 service port number (甚至也已指定 Interface), 何以在 Policy 又要再重覆指定一次?
Fortigate port forwarding 設定問題
2015-01-18 1:52 #1
文章關鍵字
設定問題
phl0722
phl0722
61分
2樓
phl0722
phl0722
個人積分:61分
文章編號:54091295
應該是
policy 內的Destination Address直接選VIP建立的Object Name
而Service選對應的項目。
2015-01-18 8:05 #2
pctine
pctine
5089分
樓主
pctine
pctine
個人積分:5089分
文章編號:54091462

phl0722 wrote:
policy 內的Destination Address直接選VIP建立的Object Name
而Service選對應的項目。 ...(恕刪)


是的, 在 Fortinet video 是這麼設的, 但小弟的疑問是, 在 VIP 就已經指定了 destination address & Service Type, 結果到了 Policy 設定又不引用這些參數, 反而另外再去參考 IP object & Service Object, 這樣的設計好像有點怪怪的.
FB: Pctine
2015-01-18 8:42 #3
HOPE000
HOPE000
174分
4樓
HOPE000
HOPE000
個人積分:174分
文章編號:54091604
pctine wrote:
是的, 在 Fort...(恕刪)


這是因為當你只想用 IP Mapping 的時候還是得由 Policy Rule 去調整 Allow Port
Port Forwarding 也就比照這方式囉 ~

這不管是 Juniper / Fortinet / SonicWall 都是這個設定邏輯
System Engineer
2015-01-18 9:08 #4
phl0722
phl0722
61分
5樓
phl0722
phl0722
個人積分:61分
文章編號:54091669
恩恩,您的意思小弟了解,既然指定8080和21不就是WEB和FTP了嗎

原廠想法是應該PORT歸屬PORT ,service歸屬service
雖然8080 應該是WEB service,FTP就是21

不過對應也是可以隨您改的,
現在網路攻擊很頻繁,也許偽裝一下也是不錯的防禦~
免的一堆猜測密碼攻擊...


2015-01-18 9:18 #5
pctine
pctine
5089分
樓主
pctine
pctine
個人積分:5089分
文章編號:54091757
phl0722 wrote:
恩恩,您的意思小弟了解,既然指定8080和21不就是WEB和FTP了嗎

原廠想法是應該PORT歸屬PORT ,service歸屬service
雖然8080 應該是WEB service,FTP就是21
...(恕刪)


是啊! 小弟是 Fortigate 新手, 所以有些問題可能問的太基本了. 應該是我已經太習慣家用 IP 分享器的設計方式了.

用 object 方式來設定就是容易管理, 但現在看起來, 如果要改其中一個設定, 不但要去改 Virtual IP 裡面的參數, 同時又要再回去修正 Policy 裡面的參數. 這樣似乎在做重覆的工作.
FB: Pctine
2015-01-18 9:31 #6
mandymak
mandymak
11分
7樓
mandymak
mandymak
個人積分:11分
文章編號:54093086
pctine大大, 你也開始用fortigate?
2015-01-18 11:45 #7
pctine
pctine
5089分
樓主
pctine
pctine
個人積分:5089分
文章編號:54093378

mandymak wrote:
你也開始用fortigate?, ...(恕刪)


上個星期買咗一部 60C 玩看看先.
FB: Pctine
2015-01-18 12:10 #8
M.M.SW
M.M.SW
148分
9樓
M.M.SW
M.M.SW
個人積分:148分
文章編號:54098887
當 Virtual IP運作port forwarding時
一般並不一定對應到同樣的port號
比如說內部80對應到外部8080
因此這port forwarding針對的就是port號
而設定policy時,服務針對的就是服務

況且,防火牆設備都是先執行路由設定
後才會執行policy政策
如果port forwarding設定有誤
就算policy正確也是不會有作用
提供意見供版大參考。

P.S. OS5.2功能非常多,建議大大不只關注基本功能
其他相關功能可以多加利用哦
2015-01-18 21:53 #9
pctine
pctine
5089分
樓主
pctine
pctine
個人積分:5089分
文章編號:54101769
>> 當 Virtual IP運作port forwarding時, 一般並不一定對應到同樣的port號
>> 比如說內部80對應到外部8080

是的, 內外部的 port number 可以不同這部份了解.

>> 況且,防火牆設備都是先執行路由設定, 後才會執行policy政策
>> 如果port forwarding設定有誤, 就算policy正確也是不會有作用

這就是小弟的疑問, 如果在 Policy 時直接採用 VIPs 裡面的設定, 不用再於 Policy 那裡重新再指定一次重覆的資料, 就不會發生 port forwarding 正確, 但 Policy 又不 match 的情況, User 在設定時只要專注在同一個地方就好.

>> P.S. OS5.2功能非常多,建議大大不只關注基本功能, 其他相關功能可以多加利用哦

小弟只是在做基本功能的設定遇到問題提出而已.
FB: Pctine
2015-01-19 3:52 #10
我要回覆

小惡魔廣編特輯

突破框架的白牌ADV浪潮!宏佳騰Brera X 250風格至上,輕巧駕馭城市與曠野
Toyota bZ4X性能與續航力全面升級、質感與配備同時進化,最值得入手的超值進口純電休旅!
[12月] Mobile01會員獨享丨年度最終賞!Apple AirPods Pro 3 夢幻降臨!
文章分享
加入好友名單
取消 確定
評分
取消 確定
評分
取消 確定
複製連結
複製
留言回報
取消 確定

今日熱門文章 網友點擊推薦!