Fortigate VIP 试验（1）

新启用一个VIP 网段 192.168.9.0/24 专门来进行地址转换。









ping 192.168.9.1 就是 ping 2.2.2.2 。 在防火墙上，不会产生 192.168.9.1的路由，也不会有 192.168.9.1 的arp。完全是一个虚的用来做地址转换的地址。然后通过策略引用这个VIP。 VIP 会自动生效。





UP # get sys session list

PROTO EXPIRE SOURCE SOURCE-NAT DESTINATION DESTINATION-NAT

tcp 3599 192.168.1.168:1379 - 192.168.1.250:23 -

udp 155 1.1.1.1:61419 - 65.39.139.53:53 -

udp 151 1.1.1.1:61419 - 65.39.139.63:53 -

icmp 59 192.168.1.168:768 - 192.168.9.1:8 2.2.2.2:768

也可以一起进行源地址转换。这里我将源地址转换为接口地址。









UP # get sys session list

PROTO EXPIRE SOURCE SOURCE-NAT DESTINATION DESTINATION-NAT

udp 26 192.168.1.250:53 - 192.168.1.168:2711 -

icmp 59 192.168.1.168:768 1.1.1.1:59518 192.168.9.1:8 2.2.2.2:768