본문 바로가기

전체 글962

SD-WAN에서 Load-Balancing 최대 멤버수가 8 → 16으로 늘어남 FortiOS v7.2.10, v7.4.7, v7.6.2 이하의 펌웨어 버전에서는 8개 이상의 SD-WAN 멤버가 있는 SD-WAN rule에서 로드 밸런싱 모드가 활성화된 경우 트래픽 분산은 8개의 멤버로만 제한되었다. FortiOS v7.2.11, v7.4.8(2025년 4월 출시 예정), v7.6.3(2025년 3월 출시 예정) 이상의 펌웨어 버전부터  로드 밸런싱 모드에서 최대 16개의 SD-WAN 멤버에 트래픽을 로드 밸런싱 가능하다. 2025. 3. 14.
v7.6.1, v7.6.2 : packet sniffer에서 중복 sniffer 됨 FortiOS v7.6.1, v7.6.2에서 packet sniffer를 하면 아래와 같이 2번 표시되는 오류가 있다.실제로 packet은 1개가 in 되고 1개가 out되어 그 응답을 받은 내용이다.실제로 packet이 2개는 아니다. 이 문제는 FortiOS v7.6.3에서 해결될 예정이다. 2025. 3. 13.
MacOS에서 FortiGate GUI에 접속이 안되는 경우 Mac 컴퓨터에서 FortiGate GUI에 Safari를 통해서는 접속 가능하지만, Chrome이나 Edge와 같은 다른 브라우저를 사용할 때 오류가 발생하는 경우가 있다.이럴때 '로컬 네트워크'에 "허용"을 선택하면 접속 가능하다. 만약 "허용" 선택창이 표시되지 않으면 "설정 > 개인정보 보호 및 보안 > 로컬 네트워크" 를 선택하여 Chrome이나 Edge와 같은 다른 브라우저를 enable 하면 된다. 2025. 3. 13.
Custom ISDB를 방화벽 정책의 source로 사용할때 "Invalid Entries" Error 발생하는 경우 FortiGate v7.4+, v7.6+의 GUI에서 사용자가 생성한 Custom ISDB를 방화벽 정책의 source로 사용할때  "Invalid Entries" Error 발생하는 경우가 있다.이런 경우는 CLI 명령어로 입력하면 추가 가능하다.config firewall policy edit set internet-service-src enable set internet-service-src-name "custom-isdb" nextend 이 이슈(1099749)는 v7.4.8 및 v7.6.3에서 수정될 예정이다 2025. 3. 13.
차단된 트래픽에 대해 TCP RST 보내는 방법 일반적으로 FortiGate 정책에 의해 차단된 경우 아래와 같이 "ERR_CONNECTION_TIMED_OUT" 연결시간이 초과 되어 차단된다. (사용자가 차단 메시지 확인에 시간이 오래 걸림)차단하는 방화벽 정책에서 'set send-deny-packet enable' 설정을 하게되면, TCP RST를 보내 즉시 차단하게 된다.config firewall policy edit set send-deny-packet enable nextend 주의) 하지만 set send-deny-packet enable' 설정을 하더라도, system setting에서 아래와 같이 'set deny-tcp-with-icmp enable' 설정이 되어 있으면 TCP RST을 보내지 않는다. (T.. 2025. 3. 10.
NAT port를 선택하는 기준 FortiGate에서 방확벽을 거쳐 SNAT을 할때, Source port를 변경하는 기준에는 여러가지 방법이 있다. ■  방화벽 정책에 'set port-preserve enable' 설정 : default원래의 Source port와 동일한 port를 사용하는 것이 우선이다. 만약 다른세션에서 이미 사용중이라면 순차적으로 비어있는 port가 적용된다.config firewall policy edit 1 set port-preserve enable nextend ■  방화벽 정책에 'set port-preserve disable' 설정 원래의 Source port와는 상관없이 순차적으로 적용된다.config firewall policy edit 1 set por.. 2025. 3. 10.
Rest API를 이용하여 group에 멤버 추가(append) 하는 방법 Rest API "POST" Method를 이용하여 Address group에 Address 멤버를 추가(append) 하거나, User Group에 User를 추가하는 방법이다. Address Group에 Address 객체를 추가하는 예제이다.POST /api/v2/cmdb/firewall/addrgrp//member{"name": "추가할 address object"} 2개의 address 멤버를 가진 'test_group'에 'test'라는 Object를 추가 하려 한다.  User Group에 User를 추가하는 것도 동일한 방식이다. 2025. 3. 7.

티스토리툴바