FortiGate682 NAT port를 선택하는 기준 FortiGate에서 방확벽을 거쳐 SNAT을 할때, Source port를 변경하는 기준에는 여러가지 방법이 있다. ■ 방화벽 정책에 'set port-preserve enable' 설정 : default원래의 Source port와 동일한 port를 사용하는 것이 우선이다. 만약 다른세션에서 이미 사용중이라면 순차적으로 비어있는 port가 적용된다.config firewall policy edit 1 set port-preserve enable nextend ■ 방화벽 정책에 'set port-preserve disable' 설정 원래의 Source port와는 상관없이 순차적으로 적용된다.config firewall policy edit 1 set por.. 2025. 3. 10. Rest API를 이용하여 group에 멤버 추가(append) 하는 방법 Rest API "POST" Method를 이용하여 Address group에 Address 멤버를 추가(append) 하거나, User Group에 User를 추가하는 방법이다. Address Group에 Address 객체를 추가하는 예제이다.POST /api/v2/cmdb/firewall/addrgrp//member{"name": "추가할 address object"} 2개의 address 멤버를 가진 'test_group'에 'test'라는 Object를 추가 하려 한다. User Group에 User를 추가하는 것도 동일한 방식이다. 2025. 3. 7. VLAN의 MAC Address FortiGate에서 생성한 VLAN 인터페이스의 MAC Address는 설정된 상위 물리적 인터페이스의 MAC address를 상속 받게 된다.하나의 물리적 인터페이스에 여러개의 VLAN 인터페이스를 생성하게되면 다수의 VLAN 인터페이스가 동일한 MAC Address[를 갖게 된다.FortiGate에서 VLAN 인터페이스의 MAC 주소는 수동으로 변경하는 방법은 없다.VLAN 인터페이스는 자동으로 부모 물리적 인터페이스의 MAC 주소를 할당하고 FortiGate는 이를 수정하는 옵션을 제공하지 않는다. Layer2에서 동일한 MAC 주소로 인하여 문제가 발생할 경우에는 다른 물리적 인터페이스 사용하거나, Independent VLAN 방식을 사용해야 한다. 2025. 3. 7. Debug의 iPrope check에서 'is not active' 에러 메세지 아래와 같이 debug에서 iPrope check 메세지가 'is not active' 에러와 함께 다른 policy에 매칭 되거나 차단 되는 경우가 있다. (dia debug flow show iprope enable) 이런 경우는 Schedule 설정에 따라 해당 정책이 동작하지 않을때 발생한다.위 예는 policy 1번에 매칭은 되었지만, Schedule 설정으로 현재 시간에 active되지 않아, 다음 정책 매칭으로 넘어가는 경우이다. 2025. 3. 6. Debug에서 SD-WAN Rule ID 확인 방법 'diagnose debug flow'에서 SD-WAN Rule ID 확인하려면 먼저 결과에서 policy routing에서 매칭된 ID를 확인한다. 'diag firewall proute list' 명령어로 해당 id를 검색한다. (grep 옵션 활용)'vwl_service' 항목이 SD-WAN rule ID 이다. 2025. 3. 6. 이전 1 2 3 4 5 6 7 8 ··· 137 다음
