차단된 트래픽에 대해 TCP RST 보내는 방법

일반적으로 FortiGate 정책에 의해 차단된 경우 아래와 같이 "ERR_CONNECTION_TIMED_OUT" 연결시간이 초과 되어 차단된다. (사용자가 차단 메시지 확인에 시간이 오래 걸림)

send-deny-packet 설정이 disable 상태

차단하는 방화벽 정책에서 'set send-deny-packet enable' 설정을 하게되면, TCP RST를 보내 즉시 차단하게 된다.

config firewall policy
    edit <policy_id>
        set send-deny-packet enable
    next
end

send-deny-packet 설정이 enable 상태

 

주의) 하지만 set send-deny-packet enable' 설정을 하더라도, system setting에서 아래와 같이 'set deny-tcp-with-icmp enable' 설정이 되어 있으면 TCP RST을 보내지 않는다. (Timeout으로 종료)

config system settings
    set deny-tcp-with-icmp enable
end