[fortige] 設定特殊的對外IP政策

有時候你需要你的設備（比如一個SMTP服務器）擁有一個特定的出站公共IP，用於諸如反向DNS查詢之類的事情，以確保郵件的傳遞和信譽，或者你希望來自特定設備或策略的信息流出IP跟踪的手段。

在Fortigates中，如何做到這一點並不明顯，通常情況下，當你創建一個策略並通過它進行NAT通信時，Fortigate將使用它自己的公共IP分配的來源，如果你有一個靜態IP和使用您的ISP的無編號地址，那麼你可能是幸運的，你的R-DNS可能會匹配這個，但是，在大多數情況下，你將有一個單獨的虛擬IP為您的SMTP服務器是不同的，因此，你需要R-DNS查找與A-Record的匹配。

所以問題就變成了：“我如何從特定的政策獲得流量來源於我選擇的靜態公共IP？

Fortigates有一個概念叫IP Pools。

IP池是允許離開FortiGate防火牆的會話使用NAT的機制。IP池定義一個IP地址或一個IP地址範圍，作為會話持續時間的源地址。這些分配的地址將被用來代替分配給FortiGate接口的IP地址。

所以我們需要先創建一個IP Poolin Policy & Objects -> Objects -> IP Pools：

點擊 Create New 設置 Name 將類型設置為Overload（允許多個後端設備使用這一個公共IP） 將其設置External IP Range為由ISP分配的塊中的單個地址 保存

接下來，我們需要轉到Policies該Policy & Objects -> Policy -> IPv4部分，並從中選擇LAN -> WAN包含我們的SMTP服務器的策略，然後編輯該Firewall/Network Options部分：

設置NAT為ON 選擇 Use Dynamic IP Pool 指定您之前創建的池名稱 保存

現在，通過此策略進入廣域網的任何流量都將通過IP Pool您指定的地址進行NAT ，因此，來自SMTP服務器的出站流量將來自與您的域A記錄的R-DNS查找相同的地址並導致郵件傳遞成功。