關於Fortigate的virtual ip

如上圖，當你在outside ping 100.100.100.253的時候，會不會ping到呢？
答案是會的。



因為Virtual IP需要NAT後才會轉到內部server上面。
所以沒有policy去match到的話，就不會生效。

所以上圖才不會走第一條規則阻擋，而是跑到第二條規則通過。

如果要那第一條規則阻擋到virtual IP，需要再第一條規則下指令

 set match-vip enable

這樣第一條規則也會對VIP生效了。