FortiGate644 MAC address Check는 Linux, iOS, Android 지원 안됨 SSLVPN Host check에서 MAC address Check는 Linux, iOS, Android의 경우 FortiClient가 MAC Address를 확인하지 못하기 때문에 지원하지 않는다. SSLVPN에서 MAC address Check를 설정한 경우, 지원하지 않는 Linux, iOS, Android OS에 대해서는 허용되지 않은 MAC address라도 체크를 우회하여 연결이 허용된다. (default 설정)SSLVPN portal 설정에서 "skip-check-for-unsupported-os enable" 되어 있기 때문이다.이 설정을 disable 하게 되면 지원하지 않는 OS에 대해 SLSVPN 연결할 수 없게 된다. 2024. 1. 24. IPSec VPN에서 들어오는 ESP Packet capture 안됨 IPSec VPN에서 ESP Packet을 캡쳐하면 incoming ESP Packet은 캡쳐되지 않고 들어오는 packet만 캡쳐된다. 이는 VPN harwdware 가속(npu-offload) 때문이다. 캡쳐하려는 VPN 터널 설정에서 npu-offload를 disable 하면, 들어오는 ESP도 캡쳐된다. 2024. 1. 24. FortiGate의 DNS 서버 선택 방법 FortiGate에는 일반적으로 Priamy, Secondary 2개의 DNS서버가 설정되어있다. 이렇게 설정된 DNS 서버중에 어떤 서버를 사용하는지는 아래 CLI 명령어로 결정된다. least-rtt : default 값으로 2개의 서버중 RTT(Round Trip TIme)가 짧은 서버를 선택하여 query 한다. failover : RTT와 상관없이 Primary 서버를 사용하다가, primary 서버가 연결이 안되거나 문제가 발생하면 secondary 서버를 사용한다. 2024. 1. 24. FMG-Access(FortiManager 연결)에 대해 trust host 설정 방법 FortiGate가 FortiManager와 연동하여 정책을 내려 받을 경우, FortiManager와 연결되는 인터페이스에 FMG-Access(TCP 541)를 설정해야 한다. FMG-Access의 경우 admin 계정에 대한 trusthost 설정에 적용을 받지 않는다. 또, dedicated management interface로 설정된 인터페이스의 trust-ip 설정에도 영향을 받지 않는다. FMG-Access(TCP 541)에 특정 host로 제한하려면 local-in-policy를 적용해야 한다. 2024. 1. 22. 방화벽 정책을 상세하게 확인하는 diagnose 명령 "diagnose firewall iprope list " 명령어를 이용하여, 현재 FortiGate에서 동작중인 방화벽 정책을 그룹별로 상세하게 확인할 수 있다. 예를 들어... # diagnose firewall iprope list 100002 ← static SNAT policies. # diagnose firewall iprope list 100000 ← VIP firewall policies. # diagnose firewall iprope list 100004 ← 일반적인 firewall forward policy 그룹 ID의 종류는 다음과 같다. 00000003 [ AUTH_DEFAULT ] All Authentication policies 00000005 [ CAPTIVE_PORTAL ].. 2024. 1. 22. 이전 1 ··· 24 25 26 27 28 29 30 ··· 129 다음
