Session Helper로 동작하는 경우 방화벽 정책에서 허용하지 않는 Source Address가 트래픽로그에 허용으로 찍히기도 한다. Session Helper로 나가는 트래픽에 대해 되돌아 오는 트래픽을 위한 expect session을 생성하고 해당 트래픽을 처리한다. 이런 경우 Source Address가 방화벽 정책에는 포함되지 않지만 허용으로 트래픽 로그가 발생한다.
예를 들어 아래와 같은 정책에서 lan → wan1으로 FTP접속에 대해 Data 채널을위한 expect session(pin hole)을 만들고 되돌아 오는 트래픽에 대해 허용하게 된다.
Expect session에 대한 로그가 아래처럼 생성된다. 해당 로그는 policy 3의 Source Address와는 전혀 다르지만 NAT된 목적지 Addrress가 "10.200.220.0/24" 인 것을 알 수 있다.
date=2021-09-22 time=05:51:39 eventtime=1632315099560088126 tz="-0700" logid="0000000013" type="traffic" subtype="forward" level="notice" vd="root"
srcip=204.76.241.31 srcport=20 srcintf="wan1" srcintfrole="undefined" dstip=10.5.52.124 dstport=60426 dstintf="lan" dstintfrole="lan" srccountry="United States" dstcountry="Reserved"
sessionid=2707418 proto=6 action="close" policyid=3 policytype="policy" poluuid="8597486e-1ba0-51ec-be80-7ef6261890d3" policyname="lan-internet" service="tcp/60426"
trandisp="dnat" tranip=10.200.220.1 tranport=54170 duration=2 sentbyte=272 rcvdbyte=212 sentpkt=6 rcvdpkt=5 appcat="unscanned" psrcport=61106 pdstport=21
'FortiGate > Firewall' 카테고리의 다른 글
| 특정 IP Address가 포함된 FQDN Object 확인하는 방법 (0) | 2022.02.14 |
|---|---|
| FortiOS v7.0.2 : 방화벽 정책을 CSV 또는 JSON 파일로 추출 가능 (0) | 2021.10.27 |
| 특정 IP가 어떤 ISDB에 포함되는지 확인하는 방법 (0) | 2021.10.13 |
| VIP 설정에 따른 아웃바운드 트래픽의 Source NAT IP (0) | 2021.09.07 |
| 펌웨어 버전에 따른 Wildcard FQDN 사용 (0) | 2021.09.03 |
댓글