Cisco Switch Block 445 Port

1.透過Vlan

ACL

ip access-list extended deny445

permit tcp any any eq 445

permit udp any any eq 445

VLAN Map

vlan access-map deny445 10

 match ip address deny445

 action drop

vlan access-map deny445 20

action forward

Applying VLAN Map to VLAN

vlan filter deny445 vlan-list  “Vlan ID” 

2.透過port

ip access-list extended deny445

deny   tcp any any eq 445

deny   udp any any eq 445

permit ip any any

int r f0/1 – X or Gi1/0/1 - X

ip access-group deny445 in

Fortigate Poicy Route

紀錄一下

1.沒有longest mask matching，Policy Route權限最大。

所以如果有一筆Policy Route 是 DMZ > WAN，0.0.0.0/0。這樣會全部流量都走WAN出去，就算static route有路由往Lan，還是不會走。
解決方式為新增一筆Policy Route，source and destination 就輸入想要的，下面Action選擇Stop Policy Routing。並將此條往上拉，這樣就不會看Policy Route，而是看Static route了。

2.Routing Table沒有的，Policy Route 不會生效。

Fortigate Block Youtube

LAB了一個上午.....
當然有web filter最快。
如果要用Application control去阻擋。
除了Youtube相關要Block，QUIC的服務也要Block。
如果沒有擋QUIC，Chrome開youtube還是正常。
擋QUIC除了Youtube還會有啥影響，測試了一個上午還沒遇到。