如何排除Fortinet路由器上的IP范围？

Question

我有一个Fortinet 100 D路由器与5.6.2操作系统。我需要设置一个SNAT规则，它匹配除了某个IP范围之外的所有内容。这在带有iptables的Linux系统上很容易实现，但在Fortinet上却不是很明显。示例：

我希望SNAT 10.107.100.0/24没有目的地为192.168.102.0/24的IP地址，如10.200.100.104。

SNAT SRC:10.107.100.0/24 DST:!192.168.102.0/24至10.200.100.104

有什么想法吗？

Answer 1

有两种方法可以做到这一点：

1-创建2个策略，其中一个策略的目标是排除范围，另一个策略是整个目标范围。在第二个策略中启用SNAT。请注意，策略是自顶向下匹配的，因此指定到排除范围的通信量都不应命中第二个策略。

2-使用排除范围创建一个策略，并在CLI中添加"set dstaddr-negate enable“。现在，除排除范围外，任何通信量都将匹配此策略。在上面启用SNAT。

当然，你现在必须处理不匹配的交通。因此，添加第二个策略，其中包含排除范围的目的地，并禁用(而不是启用) SNAT。

这与#1几乎是相同的努力，但不那么明显，因此容易产生误解。“否定式”参数最好用于更复杂的情况，例如，在一个地址范围内有几个“洞”，并希望阻塞与这些情况相匹配的通信量。