İnternetin her yerinden IPsec bağlantı girişimleri olabilir. Yetkisiz olan bu girişimleri önlemenin en iyi yolu, bu tür trafiği reddetmek için local-in-policy kullanmaktır.
Eğer sadece Türkiye içerisinden IPsec VPN(UDP 500 ve UDP 4500) portlarına erişilmek isteniyorsa aşağıdaki gibi ayarlama yapılmalıdır.
- Geography türünde Türkiye olarak adres oluşturuldu.
- CLI üzerinden aşağıdaki gibi tanımlamalar yapıldı. Burada dikkat edilmesi gereken internete bakan interface seçilmeli, izin verilen(srcaddr Turkey olan) kuralın üstte olması. Önce izin verme kuralı ardından engelleme kuralı yazılır.
Policylerde Service olarak IKE kullandık, bu FortiGate üzerinde default olarak UDP 500 ve UDP 4500 portlarını içeren bir tanım.
Not: Eğer sadece belirli IP adreslerine izin verilmek isteniyorsa Turkey yerine erişim yapacak IP adresleri kullanılabilir.
Local-in-policy ile farklı bir örnek görmek için aşağıdaki makalemi de inceleyebilirsiniz.
https://berkayceylan.com.tr/fortigate-admin-erisimini-ulke-bazli-kisitlama/.
