NAT port를 선택하는 기준

FortiGate에서 방확벽을 거쳐 SNAT을 할때, Source port를 변경하는 기준에는 여러가지 방법이 있다.

 

■  방화벽 정책에 'set port-preserve enable' 설정 : default

원래의 Source port와 동일한 port를 사용하는 것이 우선이다. 만약 다른세션에서 이미 사용중이라면 순차적으로 비어있는 port가 적용된다.

config firewall policy
    edit 1
        set port-preserve enable
    next
end

 

■  방화벽 정책에 'set port-preserve disable' 설정 

원래의 Source port와는 상관없이 순차적으로 적용된다.

config firewall policy
    edit 1
        set port-preserve disable
    next
end

 

■  FortiOS v7.6.1부터 방화벽 정책에 'set port-random enable' 설정이 추가

port-preserve가 disable되고 port-random이 enable된 경우 새 SNAT 포트가 랜덤하게 선택된다. 랜덤하게 할당함으로써 예측 불가능해서 보안이 강화ㄷ힌다.

이 기능은 'set port-preserve'가 disable화된 경우 사용할 수 있다.

config firewall policy
    edit 1
        set port-preserve disable
        set port-random {enable | disable}
    next
end

 

참고 Link :

• Source NAT port 범위 
• 여러개의 IP를 가진 IP Pool에서 SNAT되는 IP 계산법
• IP pool 객체가 여러개일 경우 SNAT에서 선택되는 IP 계산법