본문 바로가기

FortiGate631

Source NAT port range Source NAT 할때 변환되는 port range는 5117 ~ 65532 까지 60,416 개 사용 가능하다. 예를 들어 방화벽 정책 에서 SNAT 설정을 "Use Outgoing Interface Address" 로 설정 하면, IP 1개를 사용하는 것이기 때문에 동시 세션이 60,416개를 넘어가면 port 부족으로 연결이 불가능하다. IP Pool을 사용하여 SNAT IP를 늘려야 한다. 2024. 6. 19.
여러개의 IP pool 객체를 사용하는 경우 SNAT에서 선택되는 IP 계산법 SNAT에서 선택되는 IP 계산법에서 아래와 같이 여러개의 IP pool 객체를 사용하는 경우 어떻게 동작하는지 이다. Source address 172.16.172.10에 대한 계산 예이다.①동일한 방법으로 십진수로 변환한다. (2,886,773,770)② IP pool 객체의 갯수를 모두 더한다. (55)      ippool1 = 15,      ippool2 = 50  ③ 2개의 합의로 나머지 연산을 한다.    2,886,773,770 % 65 = 10    이 나머지 연산의 값이 첫번째 ippool1의 개수보다 크거나 같으면 2번째 ippool2에서 계산하고, ippool1의 개수보다 작으면 ippool1에서 계산한다.10  ④ ippool1의 개수보다 작기 때문에 ippool1에서 SNAT이.. 2024. 6. 19.
IP Pool을 이용한 SNAT에서 선택되는 IP 계산법 본 포스팅은 아래와 같이 다수의 IP pool을 가진, IP pool에서 원래의 Source address에 따라 결정되는 IP pool Address 계산법이다.위 예에서 Source address에 따라 192.168.1.11 ~ 192.168.1.25중 어떤 것이 선택 되는지 계산이다. ① 먼저 원래의 Source IP를 10진수로 변경한다     a.b.c.d IP에 대한 십진수 변환 식 :  a*256^3 + b*256^2 + c*256 + d      172.16.172.10의 경우 : 172*256*256*256 + 16*256*256 + 172*256 + 10 = 2,886,773,770 이 된다. ② IP pool의 갯수를 확인한다.     위 예의 경우 192.168.1.11 ~ 192.. 2024. 6. 19.
차단된 트래픽에 대한 세션 테이블 생성 (ses-denied-traffic) FortiGate는 차단된 트래픽을 세션 테이블에 추가하여, 동일한 세션에 대해 트래픽 차단을 CPU 소모 없이 바로 바로  차단 할 수 있다.deny된 세션의 패킷을 차단하기 위한 작업은 트래픽을 통과시키는 것보다 더 많은 CPU 처리(각 패킷을 개별적으로 거부할지 처리) 리소스가 사용될 수 있다. 따라서, 동일한 소스/대상 IP 주소, 포트 및 프로토콜 트래픽에 대해 차단된 세션을 생성해서 이로 인한 CPU 처리를 줄이는 방법이다.추가로 차단된  트래픽에 대한 로그 발생 수도 줄이는 효과가 있다. 차단된 세션의 유지 시간을 설정 할 수 있다. 2024. 6. 12.
FortiGate-VM Interface speed 설정 옵션 FortiGate-VM에서 인터페이스 속도 설정 옵션은 아래와 같이 "auto" 설정만 지원한다. 인터페이스의 speed에 대한 설정은 '물리적 네트워크 카드'를 사용할 때만 적용되기 때문이다.VM은 '가상 네트워크 카드'만 사용하기 때문에 '물리적 네트워크 카드'에 직접 액세스할 수 없어 speed 옵션을 사용 할 수 없다. 2024. 6. 11.