ソフトウェアスイッチで何故か反映されないファイアウォールポリシー
Fortigateでソフトウェアスイッチ上を通信させた時に気づいたんですがなぜかファイアウォールポリシーが反映されてない、、、
結構ハマったんですが、英文翻訳させながらやっとたどり着けたので残しておきます。
結論から言えば、CLIで対処しないといけなかったということなんですね。
なんとソフトウェアスイッチはデフォルトでポリシー適用しないスカスカモードなんです
これはもしかしたらバージョンによるのかもしれませんが、自分の場合はスカスカモードでした
ファイアウォールなのにポリシー設定できないモードとかいる?まあよくわからない、、、
以下にポリシーが反映されるようにした手順を残しておきますので、同じようにハマらないようにしてください
既存のソフトウェアスイッチは先に削除!
既に作成済のソフトウェアスイッチは先に削除しておいてください。でないと次に紹介する「ポリシーの適用」ができません。
なんと、新規作成した自然体ソフトウェアスイッチ君しか変更ができないのです。ク〇ですね。
ポリシー適用するコマンド
# config system switch-interface #ソフトウェアスイッチを作成できるモード
edit "soft001" #ソフトウェアスイッチの名前(なんでもいい)
set vdom [root] #rootを指定(vdom複数作るとroot以外にもできるけど、基本root)
set member [internal1] #なんでもいいからインターフェースを所属させる必要がある
set intra-switch-policy [implicit] #この[]内をexplicitにする
next
end #endで設定反映
これでできるはずです。
ちなみに「implicit」がいわゆるスカスカモード。
最後に
もしかしたら古いバージョンだったので、ソフトウェアスイッチ作成時にそんなエラーがでたのかも新しいバージョンでソフトウェアスイッチを新規作成したらデフォルトでポリシー適用されていたのかもしれない
そのあたりは検証してなかったので分かりませんが、同じように困ってる方がこれで解決したのなら幸いです。
いやそれ解釈おかしいよ、というのがあればコメント頂ければ幸いです。