体育会系NetworkEngineerの備忘録

ネットワーク機器(Cisco、Juniper、FortiGate、BIG-IPなど)の設定方法や検証レポートを紹介します。プライベートの内容も少しあります。

【FortiGate】非対称ルーティングの設定

非対称ルーティングの有効化はセキュリティレベルの低下に繋がりますのでオススメしませんが
やむを得ず実施される場合は理解した上でお願いします。

Fortigateは、ステートフルFirewallなので、非対称となる通信はステートの確認ができない為、
パケットが破棄されます。
しかし、非対称ルーティングの有効化(ステートフルインスペクションの無効化)をすることで
非対称ルーティングの通信も許可することが可能です。

非対称ルーティングとは一般的に多い構成がロードバランサ―にてDSR (Direct Server Return)機能を利用すると、
戻り通信がロードバランサ―を経由しないため非対称通信となります。(下図参照)
f:id:fantasista7s:20180827173244p:plain

今回は下図の構成で検証してみました。
FortiGateはL2でルーティングポイントがRouterにありますので必ずRouter経由での通信経路となります。
例えばFortiGateからすれば同じSYNパケットが端末1からRouterに抜けて、またRouterから端末2に抜けるような通信となります。
f:id:fantasista7s:20180827170538p:plain

現在の設定状態を確認した後に設定します。

# config system settings
(settings)# get

asymroute : disable ←非対称ルーティングが無効な状態

(settings)# set asymroute enable
(settings)# end

# config system settings
(settings)# get

asymroute : enable ←非対称ルーティングが有効な状態

これで非対称ルーティングが行えます。

※ただし、前述したようにセキュリティレベルは低下します。
例えばステートフルではないのでFirewallとしては機能しません。
UTM機能もポリシーとポートが合致したもののみ検査の対象となります。