FortiGate IPSec VPN membatasi koneksi IP dari negara tertentu

Jumlah penonton 2025 Setelah Konferensi Keamanan Informasi,Saya merasa bahwa kebijakan perlindungan pembatasan sumber IP masih memiliki efek tertentu,Oleh karena itu, kami sedang mengevaluasi penambahan pengaturan yang relevan ke FortiGate VPN yang ada。Pertama, telah dikonfirmasi bahwa FortiGate dapat mengatur objek alamat dengan Negara/Alamat Geografis sebagai pengenalan,Oleh karena itu, tindak lanjut ditinggalkan dengan penetapan dan penerapan kebijakan yang relevan。

Awalnya, AI menyarankan agar Anda dapat mengatur WAN → IPSec di Kebijakan Firewall untuk memfilter,Tetapi tes yang sebenarnya tidak menghalangi,Tebak itu karena ketika VPN IPSec dibuat,FortiGate akan memberikan pernyataan dalam Kebijakan Lalu Lintas Asli Masuk (Lokal-Masuk)untuk menambahkan kebijakan,Mengizinkan IP apa pun untuk terhubung melalui IPSec membatalkan Kebijakan Firewall,Oleh karena itu, jika Anda ingin memblokirnya,Saatnya memulai dengan Kebijakan Dalam Lokal ini。

Versi firmware saya adalah 7.4.7,di antarmuka grafis,Kebijakan Dalam Lokal hanya dapat dilihat,Itu tidak dapat dipindahkan,Oleh karena itu, setelah menetapkan objek alamat negara yang relevan,Langkah selanjutnya adalah pergi ke Konsol CLI,Melakukan perubahan Kebijakan Dalam Lokal dengan perintah。
(Menurut instruksi resmi,7.6.0 Kemudian dapat diatur melalui GUI。)

【Lingkungan FortiGate】

  • Versi firmware:7.4.7
  • Metode koneksi VPN:IPSec
  • Tetapkan tujuan:Hanya IP negara tertentu yang diizinkan untuk terhubung ke IPSec VPN。

Konsol CLI
Mari kita mulai dengan itu,Dalam hal prioritas,Seringkali, Anda dapat menetapkan aturan yang memungkinkan Anda terlebih dahulu,Kemudian atur untuk menolak Semua,Tetapi karena saya ingin memastikan bahwa Deny All memiliki validitas terlebih dahulu,Jadi saya akan menetapkan aturan untuk Tolak terlebih dahulu,Tunggu hingga semuanya disiapkan, lalu gunakan move untuk menyesuaikan urutan kebijakan。

1. Semua koneksi IP ditolak ke IPSec VPN

config firewall local-in-policy
    edit 1
        set intf "virtual-wan-link" # virtual-wan-link 為 Interface 的名稱
        set srcaddr "all"
        set dstaddr "all"
        set action deny
        set service "IKE" "ESP"
        set schedule "always"
    next
end

2. Izinkan IP negara tertentu terhubung ke VPN IPSec

config firewall local-in-policy
    edit 2
        set intf "virtual-wan-link"
        set srcaddr "Country-Allow"
        set dstaddr "all"
        set action accept
        set service "IKE" "ESP"
        set schedule "always"
    next
end

3. Menyesuaikan urutan kebijakan lokal

config firewall local-in-policy
move 2 before 1
end

4. Periksa hasil pengaturan terakhir

show firewall local-in-policy

 

【Fan Wai Pian】
dalam proses pengujian,Jika Anda ingin mengamati status lalu lintas,Ini dapat dilakukan dengan mengikuti instruksi。

1. Amati entri apa pun dengan sniffer 500, 4500 pelabuhan

diag sniffer packet any 'port 500 or port 4500' 4 # 4 最詳細,1 最簡單

// 按 CTRL + C 結束

2. Amati sumber dengan mode debug 123.123.123.123 sebelum 100 Lalu lintas pena

diag debug reset
diag debug flow filter addr 123.123.123.123
diag debug flow trace start 100
diag debug enable

diag debug disable
diag debug reset

3. Amati lalu lintas IKE dalam mode debug

diag debug reset
diag debug console timestamp enable
diag debug application ike -1 # 等級從 1 ~ 15,-1 代表最詳細
diag debug enable

diag debug disable
diag debug reset

 

"Tautan Terkait"

Tinggalkan Komentar

Harap dicatat: Moderasi komentar diaktifkan dan dapat menunda komentar Anda. Tidak perlu mengirimkan kembali komentar Anda.