Virtual IP를 설정해서 사용하는 경우, 매핑된 internal IP의 아웃바운드 트래픽 Source NAT IP에 영향을 준다.
예를 들어 아래와 같이 구성에서..
VIP 설정이 아래와 같이 10.10.111.11 → 192.168.1.110으로 Static NAT 설정이고..
방화벽 정책은 내부에서 외부로 Outgoing Interface NAT 설정이더라도..
Source IP가 192.168.1.110에 대해서는 Outgoing Interface IP가 아닌 VIP인 10.10.111.11 로 Source NAT 된다.
하지만 아래처럼 방화벽 정책에서 IP Pool을 설정해서 특정 IP로 Source NAT을 하게 되면, VIP가 설정 되어 있더라도 해당 IP Pool로 NAT 된다.
이는 "nat-source-vip" 설정에 따라 동작하게 된다. default 설정은 "disable" 이며 아래의 순서로 Source NAT 하게된다.
1. 방화벽 정책에 IP Pool있으면 IP Pool IP 사용
2. VIP에 설정된 외부 IP로 Source NAT
3. OutGoing Interface IP
만약 "nat-source-vip"을 enable하게 되면, IP Pool이 설정되어 있더라도, VIP에 설정된 외부 IP로 Source NAT 하게된다.
참고로 VIP가 Port Forwarding으로 설정된 경우는 VIP 설정과는 상관없이 방화벽 정책의 Source NAT 정책을 따른다.
'FortiGate > Firewall' 카테고리의 다른 글
| 정책에서 허용하지 않는 Source Address가 트래픽로그에 허용으로 찍히는 경우 (0) | 2021.10.20 |
|---|---|
| 특정 IP가 어떤 ISDB에 포함되는지 확인하는 방법 (0) | 2021.10.13 |
| 펌웨어 버전에 따른 Wildcard FQDN 사용 (0) | 2021.09.03 |
| Threat Feed의 IP address 형식 (0) | 2021.08.30 |
| FortiGate 방화벽 정책 수(count) 확인 방법 (0) | 2021.07.09 |
댓글