반응형

Fortigate session filter IP 범위로 조건 설정하는 방법

 

fortigate session clear 및 list 확인 방법

fortigate session clear 및 list 확인 방법 CLI 명령어를 통하여 fortigate의 총 session 수 확인 또는 session 요약 또는 상세보기 그리고 특정 session을 보거나 clear 하는 방법 확인해보기 get sys session status 해당

dyjj.tistory.com

위 링크는 지난번 session filter 및 client 확인하는 방법 포스팅

session filter 조건 중 IP range로 조건 설정하는 방법에 대해 추가로^^

session filter 조건들을 보니 range에 대한 방법은 따로 없더라고요. (최근에 알게됨)

range의 경우 위 이미지처럼 설정해주시면 됩니다.

<IP>띄어쓰기<IP>

조건 설정 후 설정된 filter 확인

source ip 부분에 1.1.1.1 ~ 1.1.1.44까지 설정된 걸 확인할 수 있습니다.

IP 뿐만 아니라 Port의 경우도 이런 방법으로 range 설정이 가능합니다.

 

Fortigate session filter IP range 조건 설정하는 방법

반응형
저작자표시

'IT > Fortinet' 카테고리의 다른 글

Fortigate FortiGuard 또는 FortiCare license가 만료되면 어떻게 되는지  (0) 2024.05.13
Fortigate FQDN address IP list CLI로 확인하는 방법  (0) 2024.05.07
Fortigate audit trail 설정  (0) 2024.04.18
FortiClientEMS에서 FortiGate Webfilter Profile 가져오는 방법  (0) 2024.03.27
ForticlientEMS 인증서 다운로드 방법 / Forticlient EMS Certificate  (0) 2024.03.25
반응형

fortigate snat-route-change 활성화/비활성화 시 동작

해당 명령어의 활성화/비활성화 시 SNAT Session 동작

설정은 config system global > set snat-route-change <enable/disable> 

default 설정은 disable

예시의 default 라우팅 2개와 snat-route-change가 disable 일 때

Host는 port1번으로 인터넷 통신하게 됩니다. / priority가 낮아 Port1으로 통신

이 상태에서 edit 2의 라우팅 설정 priority를 1로 바꾸게 된다면?

동일한 목적지일 경우 위 이미지 기준 priority값에 의해 라우팅 됩니다. Port2 라우팅 설정 priority값을 1로 수정했으니 port2로 인터넷 통신되어야 하는 거 아닌가 ? 라는 생각이 들지만

SNAT Session은 해당 Session이 종료 또는 지우기 전까지 인터넷은 Port1번으로 통신합니다. 

결론은 snat-route-change <disable> : 라우팅 정보가 변경된 후에도 기존 SNAT Session의 경로로 통신, 변경된 라우팅 정보를 반영시키려면 해당 SNAT Session을 지워야 합니다.

다음,

snat-route-change가 enbale 일 때

위 상황처럼 edit2의 라우팅 설정 priority를 1로 바꾸게 된다면?

SNAT Session의 라우팅 정보가 플러시 되어 Port1번으로 통신하게 됩니다. / SNAT Session 종료를 기다리거나 지우지 않아도 됨

 

fortigate snat-route-change disable 시 라우팅 정보를 변경하여도 적용이 되지 않아 장애 상황처럼 느낄 수 있을 것 같습니다.

 

fortigate snat-route-change 활성화/비활성화 시 동작

반응형
저작자표시

'IT > Fortinet' 카테고리의 다른 글

forticlient 이전 버전 다운로드 하는 방법  (1) 2023.11.28
Fortigate 초기 구성 GUI 접속 방법 확인  (0) 2023.11.19
Fortigate 권장 Firmware Versions 확인하기  (0) 2023.11.14
Mac OS에서 forticlient 삭제하는 방법  (0) 2023.10.18
fortigate deep-inspection이 필요한 application control 확인 방법  (0) 2023.10.06
반응형

Fortigate session ttl 설정 방법

Fortigate에서는 global, policy, service에 대해 session ttl 설정이 가능합니다.

1. global에서 session ttl 변경

CLI > config system session-ttl 진입

default 설정은 3600초이며 위 이미지 내 범위까지 설정 변경이 가능합니다

-

2. service에서 변경

GUI에서는 session ttl 변경이 불가능합니다.

CLI > config firewall policy > edit <>

set session-ttl

policy에서는 default가 0으로 설정되어 있고 300에서 2764800초까지 변경이 가능합니다.

-

 

 

3. service에서 변경하기

service도 CLI에서 변경해줍니다.

CLI > config firewall service custom > edit <>

service에서도 마찬가지로 set session-ttl 하셔서 변경해주시면 되고 default가 0으로 설정되어 있습니다

0의 의미는 상위 설정의 ttl값을 따른다는 의미입니다.

global > policy > service 순으로 global이 3600 policy,service 둘 다 0으로 설정되어 있으면 policy, service 3600초로 동작합니다.

추가로

위 모든 설정들에서 session ttl을 무한대로 설정할 수 있습니다.

set session-ttl <never> 로 설정해주시면 됩니다.

never는 히든 명령어라서 보이지 않고 직접 입력해 주셔야 합니다.

이상

Fortigate session ttl 설정 방법 알아보기 끝

반응형
저작자표시

'IT > Fortinet' 카테고리의 다른 글

fortigate VRF(Virtual Routing and Forwarding) 설정  (0) 2023.02.17
fortigate ECMP(Equal Cost Multi-Path) 동작  (0) 2023.02.16
Fortigate GUI 연결 안 될 때 확인사항  (0) 2023.01.31
Fortigate execute factoryreset 공장초기화 하기  (0) 2023.01.27
Fortigate SSL-VPN 10, 80, 98% 멈춤 현상 시  (0) 2023.01.25

+ Recent posts

티스토리툴바